Cette partie explique comment utiliser la méthode d'installation et d'initialisation via une connexion WAN pour installer un système sur un réseau WAN (Wide Area Network).
Ce chapitre propose une vue d'ensemble de la méthode d'installation et initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :
Fonctionnement de l'Initialisation via connexion WAN - Présentation
Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation
La méthode d'installation et initialisation via connexion WAN vous permet d'initialiser et d'installer un logiciel via un réseau étendu à l'aide du protocole HTTP. Lorsque vous utilisez la méthode d'initialisation via une connexion WAN, il vous est possible d'installer le système d'exploitation Solaris sur des systèmes SPARC via un réseau public de très grande taille, même si l'infrastructure de ce réseau n'est pas fiable. Vous pouvez combiner l'initialisation via une connexion WAN avec des fonctions de sécurité afin de préserver la confidentialité des données et l'intégrité de l'image d'installation.
La méthode d'installation et d'initialisation via connexion WAN vous permet de transmettre une archive Solaris Flash cryptée via un réseau public à un client SPARC distant. Les programmes d'initialisation via connexion WAN installent alors le système client par l'intermédiaire d'une installation JumpStart personnalisée. Pour protéger l'ensemble de l'installation, vous pouvez utiliser des clés privées afin d'authentifier et de crypter les données. Vous pouvez également transmettre vos données et fichiers d'installation via une connexion HTTP sécurisée en configurant vos systèmes pour qu'ils utilisent des certificats numériques.
Pour effectuer une installation et Initialisation via connexion WAN, installez un système SPARC en téléchargeant les informations présentées ci-après à partir d'un serveur Web via une connexion HTTP ou HTTP sécurisée.
wanboot, programme – Le programme wanboot est le programme d'initialisation de second niveau permettant de charger la miniracine d'initialisation via une connexion WAN, les fichiers de configuration client ainsi que les fichiers d'installation. Le programme wanboot effectue des tâches similaires à celles des programmes d'initialisation de second niveau ufsboot ou inetboot.
Système de fichiers d'initialisation via une connexion WAN : le programme wanboot utilise plusieurs fichiers différents afin de configurer le client et d'extraire les données permettant d'installer le système client. Ces fichiers se trouvent dans le répertoire /etc/netboot du serveur Web. Le programme wanboot-cgi transmet ces fichiers au client sous la forme d'un système de fichiers, appelé système de fichiers d'initialisation via une connexion WAN.
Miniracine de l'initialisation via une connexion WAN : il s'agit d'une version modifiée de la miniracine Solaris permettant d'effectuer une installation et initialisation via une connexion WAN. Comme la miniracine de Solaris, elle contient un noyau et juste assez de logiciel pour installer l'environnement Solaris. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris.
Fichiers de configuration JumpStart personnalisée : pour installer le système, l'initialisation via connexion WAN transmet au client sysidcfg, rules.ok, ainsi que les fichiers de profils. L'initialisation via connexion WAN utilise ensuite ces fichiers pour effectuer une installation JumpStart personnalisée sur le système client.
Archive Solaris Flash : ensemble de fichiers copié à partir d'un système maître. Vous pouvez utiliser cette archive pour installer un système client. L'initialisation via connexion WAN utilise la méthode d'installation JumpStart personnalisée pour installer une archive Solaris Flash sur le système client. Après l'installation d'une archive sur un système client, ce système adopte la configuration exacte du système maître.
La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.
Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Vous installez ensuite l'archive sur le système client à l'aide de la méthode d'installation JumpStart personnalisée.
Vous pouvez protéger le transfert des informations précédemment répertoriées grâce à des clés et des certificats numériques.
Pour obtenir une description complète du déroulement des événements lors d'une installation et initialisation via une connexion WAN, reportez-vous à la section Fonctionnement de l'Initialisation via connexion WAN - Présentation .
La méthode d'installation et initialisation via connexion WAN vous permet d'installer des systèmes SPARC éloignés géographiquement. Vous pouvez souhaiter utiliser l'initialisation via connexion WAN pour installer des serveurs ou clients distants accessibles uniquement via un réseau public.
Si vous souhaitez installer des systèmes situés sur votre réseau local, la méthode d'installation et initialisation via connexion WAN peut requérir une configuration et une administration plus importantes que d'ordinaire. Pour plus d'informations sur la procédure d'installation des systèmes sur un réseau local, reportez-vous au Chapitre4Installation réseau - Présentation.
L'initialisation via connexion WAN utilise un ensemble de serveurs, de fichiers de configuration, de programmes CGI (Common Gateway Interface) et de fichiers d'installation pour installer un client SPARC distant. Cette section décrit le déroulement général des événements lors d'une installation et Initialisation via connexion WAN.
La Figure 10–1 indique le déroulement normal des événements lors d'une installation et initialisation via une connexion WAN. Elle présente l'extraction des données de configuration et des fichiers d'installation par un client SPARC à partir d'un serveur Web et d'un serveur d'installation via connexion WAN.
Vous pouvez initialiser le client de l'une des manières suivantes :
initialiser à partir du réseau en définissant des variables d'interface réseau dans l'OBP (PROM Open Boot) ;
initialiser à partir du réseau avec l'option DHCP ;
initialiser à partir d'un CD local.
Le client OBP obtient des informations de configuration à partir d'une des sources suivantes :
les valeurs de l'argument d'initialisation entrées dans la ligne de commande par l'utilisateur ;
le serveur DHCP, si le réseau utilise DHCP.
Le client OBP requiert le programme d'initialisation de second niveau de l'initialisation via connexion WAN (wanboot).
Le client OBP télécharge le programme wanboot à partir des sources suivantes :
un serveur Web particulier, appelé serveur d'initialisation via connexion WAN, à l'aide du protocole HTTP ;
un CD-ROM local (non indiqué sur la figure).
Le programme wanboot demande les informations de configuration client au serveur d'initialisation via connexion WAN.
Le programme wanboot télécharge les fichiers de configuration transmis par le programme wanboot-cgi à partir du serveur d'initialisation via connexion WAN. Ces fichiers sont transmis au client sous la forme d'un système de fichiers d'initialisation via connexion WAN.
Le programme wanboot demande le téléchargement de la miniracine de l'initialisation via connexion WAN au serveur d'initialisation via connexion WAN.
Il la télécharge à partir du serveur d'initialisation via connexion WAN à l'aide du protocole HTTP ou HTTP sécurisé.
Il charge et exécute le noyau UNIX à partir de la miniracine de l'initialisation via connexion WAN.
Le noyau UNIX place et monte le système de fichiers d'initialisation via connexion WAN destiné à être utilisé par le programme d'installation de Solaris.
Le programme d'installation demande le téléchargement d'une archive Solaris Flash et de fichiers JumpStart personnalisés à un serveur d'installation.
Il télécharge l'archive et les fichiers JumpStart personnalisés via connexion HTTP ou HTTPS.
Il effectue une installation JumpStart personnalisée pour installer l'archive Solaris Flash sur le client.
La méthode d'installation et initialisation via connexion WAN vous permet d'utiliser des clés de hachage, des clés de chiffrement et des certificats numériques pour protéger vos données système lors de l'installation. Cette section décrit brièvement les différentes méthodes de protection des données prises en charge par la méthode d'installation et initialisation via connexion WAN.
Pour protéger les données que vous transmettez au client depuis le serveur d'initialisation via une connexion WAN, vous pouvez générer une clé HMAC (Hashed Message Authentication Code). Vous installez cette clé de hachage à la fois sur le serveur d'initialisation via connexion WAN et sur le client. Le serveur d'initialisation via connexion WAN utilise cette clé pour signer les données à transmettre au client. Le client l'utilise alors pour vérifier l'intégrité des données transmises par le serveur d'initialisation via connexion WAN. Après l'installation d'une clé de hachage sur un client, celui-ci l'utilise pour les prochaines installations et initialisations via connexion WAN.
Pour plus d'informations sur l"utilisation d'une clé de hachage, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.
méthode d'installation et initialisation via connexion WAN permet de chiffrer les données que vous transmettez au client à partir du serveur d'initialisation via une connexion WAN. Vous pouvez utiliser les services de l'initialisation via connexion WAN pour créer une clé 3DES (Triple Data Encryption Standard) ou AES (Advanced Encryption Standard). Vous pouvez ensuite fournir cette clé au serveur d'Initialisation via connexion WAN et au client. L'initialisation via connexion WAN utilise cette clé de chiffrement pour chiffrer les données envoyées au client à partir du serveur d'Initialisation via connexion WAN. Le client peut alors utiliser cette clé pour déchiffrer les fichiers de configuration et les fichiers de sécurité chiffrés transmis lors de l'installation.
Après l'installation d'une clé de chiffrement sur un client, celui-ci l'utilise pour une prochaine installation et Initialisation via connexion WAN.
Votre site ne permet peut-être pas l'utilisation de clés de chiffrement. Pour le savoir, adressez-vous à l'administrateur de la sécurité de votre site. Si votre site permet le chiffrement, demandez à l'administrateur de la sécurité quel type de clé de chiffrement vous devez utiliser : 3DES ou AES.
Pour plus d'informations sur l'utilisation des clés de chiffrement, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.
L'initialisation via connexion WAN prend en charge l'utilisation d'HTTP via SSL (HTTPS) pour le transfert de données entre le serveur d'Initialisation via connexion WAN et le client. Quand vous utilisez HTTPS, vous pouvez demander au serveur, ou à la fois au serveur et au client, de s'authentifier lors de l'installation. HTTPS chiffre également les données transférées du serveur au client lors de l'installation.
Le protocole HTTPS utilise des certificats numériques pour authentifier les systèmes qui échangent des données via le réseau. Un certificat numérique est un fichier identifiant un système, serveur ou client, comme un système sûr pour la communication en ligne. Vous pouvez demander un certificat numérique à une autorité de certification extérieure ou créer votre propre certificat et votre propre autorité de certification.
Pour permettre au client d'autoriser le serveur et d'en accepter les données, vous devez installer un certificat numérique sur le serveur. Vous donnez ensuite l'instruction au client d'autoriser ce certificat. Vous pouvez également demander au client de s'authentifier lui-même auprès des serveurs en lui fournissant un certificat numérique. Vous donnez alors l'instruction au serveur d'accepter le signataire du certificat lorsque le client le présente lors de l'installation.
Pour utiliser des certificats numériques lors de l'installation, vous devez configurer votre serveur Web afin qu'il utilise HTTPS. Consultez la documentation de votre serveur Web pour obtenir des informations concernant l'utilisation d'HTTPS.
Pour de plus amples informations sur les conditions d'utilisation des certificats numériques lors de l'installation et initialisation via une connexion WAN, reportez-vous à la section Exigences des certificats numériques. Pour plus d'informations sur l'utilisation des certificats numériques dans votre installation et Initialisation via connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.
L'initialisation via connexion WAN prend en charge différents niveaux de sécurité. Vous pouvez utiliser une combinaison des fonctions de sécurité prises en charge selon les besoins de votre réseau. Une configuration fortement sécurisée est plus lourde à administrer, mais les données de votre système sont mieux protégées. S'il s'agit d'un système sensible ou connecté à un réseau public de grande taille, choisissez la configuration indiquée dans la section Configuration d'une installation et Initialisation via connexion WAN sécurisée. En revanche, s'il s'agit d'un système moins sensible, ou s'il s'agit d'un système connecté à un réseau semi-privé, optez plutôt pour la configuration de la section Configuration d'une installation et Initialisation via connexion WAN non sécurisée.
Cette section décrit brièvement les différentes configurations possibles pour définir le niveau de sécurité de votre installation et Initialisation via connexion WAN. Elle décrit également les mécanismes de sécurité requis par ces configurations.
Cette configuration protège l'intégrité des données échangées entre le serveur et le client, et permet de préserver la confidentialité du contenu de l'échange. Elle utilise une connexion HTTPS, ainsi que l'algorithme 3DES ou AES pour chiffrer les fichiers de configuration client. Elle requiert également l'authentification du serveur auprès du client lors de l'installation. Une installation et initialisation via connexion WAN sécurisée requiert les fonctions de sécurité suivantes :
HTTPS sur le serveur d'Initialisation via connexion WAN et le serveur d'installation ;
clé de hachage HMAC SHA1 sur le serveur d'Initialisation via connexion WAN et le client ;
clé de chiffrement 3DES ou AES pour le serveur d'Initialisation via connexion WAN et le client ;
certificat numérique issu d'une autorité de certification pour le serveur d'Initialisation via connexion WAN.
Si vous souhaitez requérir l'authentification du client lors de l'installation, vous devez également utiliser les fonctions de sécurité suivantes :
clé privée pour le serveur d'Initialisation via connexion WAN ;
certificat numérique pour le client.
Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–1.
Cette configuration de sécurité requiert un effort moindre au niveau de l'administration, mais fournit le transfert de données entre le serveur et le client le moins sécurisé. Vous n'avez pas besoin de créer de clé de hachage, de clé de chiffrement ni de certificat numérique. De même, vous n'avez pas besoin de configurer votre serveur Web pour qu'il utilise HTTPS. Cependant, cette configuration transfère les données et les fichiers d'installation via une connexion HTTP, ce qui rend votre installation vulnérable aux interceptions sur le réseau.
Si vous voulez que le client vérifie l'intégrité des données transmises, vous pouvez utiliser une clé de hachage HMAC SHA1 avec cette configuration. Cependant, l'archive Solaris Flash n'est pas protégée par la clé de hachage. Au cours de l'installation, l'archive est transférée de façon non sécurisée entre le serveur et le client.
Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–2.
Ce chapitre décrit la préparation de votre réseau pour une installation et Initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :
Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN
Limitations de sécurité de l'Initialisation via connexion WAN
Collecte d'informations pour les installations et initialisations via une connexion WAN
Cette section décrit la configuration système requise pour procéder à l'installation de Initialisation via connexion WAN.
Tableau 11–1 Configuration système requise pour une installation et initialisation via connexion WAN
Système et description |
Configuration requise |
---|---|
Serveur d'initialisation via une connexion WAN : serveur Web fournissant le programme wanboot, les fichiers de configuration et de sécurité et la miniracine de l'initialisation via une connexion WAN. |
|
Serveur d'installation : serveur fournissant l'archive Solaris Flash et les fichiers JumpStart personnalisés nécessaires à l'installation du client. |
Si le serveur d'installation est un système différent du serveur par initialisation via connexion WAN, le serveur d'installation doit en plus répondre aux exigences suivantes :
|
Système client : système distant que vous souhaitez installer sur un réseau étendu (WAN). |
|
(Facultatif) Serveur DHCP : vous pouvez utiliser un serveur DHCP pour les informations de configuration client. |
Si vous utilisez un serveur DHCP SunOS, il est nécessaire d'effectuer une des tâches suivantes :
Si le serveur DHCP est sur un autre sous-réseau que le client, il est nécessaire de configurer un agent de relais BOOTP. Pour obtenir plus d'informations sur la configuration d'un agent de relais BOOTP, reportez-vous au Chapitre 14, Configuration du service DHCP (tâches) du Guide d’administration système : services IP. |
(Facultatif) Serveur de journalisation : par défaut tous les messages du journal d'initialisation et d'installation s'affichent sur la console du client pendant l'installation via une connexion WAN. Si vous souhaitez afficher ces messages sur un autre système, vous pouvez définir un système remplissant la fonction de serveur de journalisation. |
Il doit être configuré comme un serveur Web. Remarque – Si vous utilisez l'HTTPS au cours de l'installation, le serveur de journalisation doit être sur le même système que le serveur de l'initialisation via une connexion WAN. |
(Facultatif) Serveur proxy : vous pouvez configurer la fonction d'initialisation via une connexion WAN de sorte qu'elle utilise un proxy HTTP au cours du chargement des données et fichiers d'installation. |
Si l'installation utilise l'HTTPS, le serveur proxy doit être configuré pour gérer le protocole HTTPS. |
Le logiciel du serveur Web que vous utilisez sur le serveur de l'initialisation via connexion WAN et le serveur d'installation doivent répondre aux exigences suivantes :
Exigences relatives au système d'exploitation : l'initialisation via une connexion WAN fournit un programme CGI (wanboot-cgi) convertissant les données et fichiers au format spécifique attendu par la machine client. Pour réaliser une installation et initialisation via une connexion WAN à l'aide de ces scripts, le logiciel du serveur Web doit fonctionner sous le système d'exploitation Solaris 9 12/03, ou une version compatible.
Limitation de la taille des fichiers : le logiciel du serveur Web peut limiter la taille des fichiers transmissibles via HTTP. Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.
La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.
Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Prise en charge du SSL : si vous souhaitez utiliser l'HTTPS pour votre installation et initialisation via une connexion WAN, le logiciel du serveur Web doit prendre en charge la version 3 du SSL.
Vous pouvez personnaliser la configuration des serveurs nécessaires à l'installation et initialisation via connexion WAN en fonction des besoins de votre réseau. Vous pouvez héberger tous les serveurs sur un seul système ou les placer sur des systèmes différents.
Serveur unique : si vous souhaitez centraliser les données et fichiers d'initialisation via connexion WAN sur un seul système, vous pouvez héberger tous les serveurs sur la même machine. Vous pouvez administrer tous vos serveurs sur un seul système et seul un système doit être configuré comme serveur Web. Toutefois, un seul serveur pourrait ne pas être en mesure d'assurer le trafic d'un grand nombre d'installations et initialisations via connexion WAN réalisées simultanément.
Plusieurs serveurs : si vous souhaitez répartir les données et fichiers d'installation sur l'ensemble du réseau, vous pouvez héberger ces serveurs sur plusieurs machines. Vous pouvez configurer un serveur d'initialisation via connexion WAN central et configurer plusieurs serveurs d'installation pour héberger les archives Solaris Flash sur le réseau. Si le serveur d'installation et le serveur de journalisation sont hébergés sur des machines indépendantes, ils doivent être configurés comme serveurs Web.
Au cours d'une installation et initialisation via connexion WAN, le programme wanboot-cgi transmet les fichiers suivants :
programme wanboot ;
miniracine de l'initialisation via connexion WAN ;
fichiers JumpStart personnalisés ;
archive Solaris Flash.
Pour activer le programme wanboot-cgi pour la transmission de ces fichiers, ces derniers doivent être stockés dans un répertoire accessible au logiciel du serveur Web. Vous pouvez rendre ces fichiers accessibles en les plaçant dans le répertoire racine document de votre serveur Web.
Le répertoire document racine ou de documents principal permet de stocker sur votre serveur Web les fichiers auxquels vous souhaitez que les clients aient accès. Vous pouvez nommer et configurer ce répertoire dans le logiciel de votre serveur Web. Consultez la documentation de votre serveur Web pour de plus amples informations sur la définition du répertoire document racine sur votre serveur Web.
Plusieurs sous-répertoires peuvent être créés dans ce répertoire afin de stocker les différents fichiers d'installation et de configuration. Vous pouvez par exemple créer des sous-répertoires spécifiques pour chaque groupe de clients à installer. Si vous souhaitez installer plusieurs versions différentes du système d'exploitation Solaris sur votre réseau, il vous est possible de créer un sous-répertoire pour chaque version.
La Figure 11–1 présente une structure simple de répertoire document racine à titre d'exemple. Dans cet exemple, le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur la même machine. Le serveur utilise le logiciel de serveur Web Apache.
Cet exemple de répertoire document utilise la structure suivante :
Le répertoire /opt/apache/htdocs est le répertoire document racine.
Le répertoire de la miniracine de l'initialisation via une connexion WAN (miniroot) contient la miniracine de l'initialisation via une connexion WAN.
Le répertoire Solaris Flash (flash) contient les fichiers JumpStart personnalisée nécessaires à l'installation du client et du sous-répertoire archives. Le répertoire archives contient l'archive version Solaris actuelle Flash.
Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur des systèmes différents, le répertoire flash peut être stocké sur le serveur d'installation. Assurez-vous alors que ces fichiers et répertoires sont accessibles au serveur d'initialisation via connexion WAN.
Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour plus d'informations sur la création et le stockage de ces fichiers d'installation, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.
Le répertoire /etc/netboot contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification requis pour une installation et initialisation via connexion WAN. Cette section décrit les fichiers et répertoires que vous pouvez créer dans le répertoire /etc/netboot pour personnaliser l'installation et initialisation via connexion WAN.
Au cours de l'installation, le programme wanboot-cgi recherche les informations client dans le répertoire /etc/netboot du serveur d'initialisation via une connexion WAN. Le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN, puis transmet ce dernier au client. Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via une connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.
Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients de votre réseau, stockez les fichiers de configuration à partager dans le répertoire /etc/netboot.
Configuration réseau : si vous souhaitez que les informations de configuration ne soient partagées que par les ordinateurs d'un sous-réseau donné, stockez les fichiers de configuration à partager dans un sous-réperoire du répertoire /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/net-ip |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client. Si vous souhaitez par exemple que tous les systèmes du sous-réseau dont l'adresse IP est 192.168.255.0 partagent les mêmes fichiers de configuration, créez un répertoire /etc/netboot/192.168.255.0 pour y stocker les fichiers de configuration.
Configuration client spécifique : si vous souhaitez qu'un client spécifique utilise le système de fichiers d'initialisation, stockez les fichiers du système d'initialisation dans un sous-répertoire du répertoire /etc/netboot . Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/net-ip/client-ID |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur. Si vous souhaitez par exemple qu'un système dont l'ID client est 010003BA152A42 sur le sous-réseau 192.168.255.0, utilise des fichiers de configuration spécifiques, créez un répertoire /etc/netboot/192.168.255.0/010003BA152A42 . pour y stocker les fichiers appropriés.
Vous spécifiez les informations de sécurité et de configuration en créant les fichiers indiqués ci-dessous et en les stockant dans le répertoire /etc/netboot.
wanboot.conf : ce fichier spécifie les données de configuration du client dans le cadre d'une installation et d'une initialisation via une connexion WAN.
Fichier de configuration du système ( system.conf) : ce fichier de configuration du système spécifie l'emplacement du fichier sysidcfg du client et des fichiers JumpStart personnalisée.
keystore : ce fichier contient une clé de hachage HMAC SHA1, une clé de chiffrement 3DES ou AES et une clé privée SSL.
truststore : ce fichier contient les certificats numériques délivrés par les autorités de certificat du client. Ces certificats de confiance donnent des instructions au client pour qu'il se fie au serveur au cours de l'installation.
certstore : ce fichier contient le certificat numérique du client.
Le fichier certstore doit être placé dans le répertoire de l'ID client. Reportez-vous à la section Personnalisation de l'installation et initialisation via une connexion WAN pour obtenir des informations sur les sous-répertoires du répertoire /etc/netboot.
Pour des directives plus précises relatives à la création et au stockage de ces fichiers, reportez-vous aux procédures indiquées ci-dessous.
(Facultatif) Création d'une clé de hachage et de chiffrement
(Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client
Lors de l'installation de clients sur votre réseau, vous pouvez choisir de partager les fichiers de configuration entre différents clients ou à travers des sous-réseaux complets. Vous pouvez partager ces fichiers en répartissant les informations de configuration dans les répertoires /etc/netboot/ip_réseau/ID_client, /etc/netboot/ip_réseau et /etc/netboot. Le programme wanboot-cgi recherche dans ces répertoires les informations de configuration convenant le mieux au client et les utilise au moment de l'installation.
Le programme wanboot-cgi recherche les informations client dans l'ordre indiqué ci-dessous.
/etc/netboot/ip_réseau/ID_client : le programme wanboot-cgi vérifie d'abord les informations de configuration spécifiques de la machine du client. Si le répertoire /etc/netboot/ip_réseau/ID_client contient toutes les informations de configuration du client, le programme wanboot-cgi ne vérifie pas les informations de configuration ailleurs.
/etc/netboot/ip_réseau : si toutes les informations requises ne figurent pas dans le répertoire /etc/netboot/ip_réseau/ID_client, le programme wanboot-cgi vérifie les informations de configuration du sous-réseau dans le répertoire /etc/netboot/ip_réseau.
/etc/netboot : si les informations restantes ne figurent pas dans le répertoire /etc/netboot/ip_réseau, le programme wanboot-cgi vérifie ensuite les informations de configuration globales dans le répertoire /etc/netboot.
La Figure 11–2 explique la procédure de définition du répertoire /etc/netboot afin de personnaliser les installations et initialisations via une connexion WAN.
La configuration du répertoire /etc/netboot de la Figure 11–2 permet de réaliser les installations et initialisations via les connexions WAN suivantes.
Lorsque vous installez le client 010003BA152A42, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot/192.168.255.0/010003BA152A42 :
system.conf ;
keystore ;
truststore ;
certstore.
Le programme wanboot-cgi utilise ensuite le fichier wanboot.conf du répertoire /etc/netboot/192.168.255.0.
Lorsque vous installez un client situé sur le sous-réseau 192.168.255.0 subnet, le programme wanboot-cgi utilise les fichiers wanboot.conf , keystore et truststore du répertoire /etc/netboot/192.168.255.0. Le programme wanboot-cgi utilise ensuite le fichier system.conf du répertoire /etc/netboot.
Lorsque vous installez la machine d'un client ne figurant pas sur le sous-réseau 92.168.255.0, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot :
wanboot.conf ;
system.conf ;
keystore ;
truststore ;
Le programme wanboot-cgi transmet les données et les fichiers du serveur d'initialisation via une connexion WAN au client. Vous devez vous assurer que ce programme se trouve dans un répertoire du serveur d'initialisation via connexion WAN accessible au client. Pour le rendre accessible, vous pouvez le stocker dans le répertoire cgi-bin de ce serveur. Vous pouvez avoir à configurer le logiciel du serveur Web pour qu'il utilise le programme wanboot-cgi comme un programme CGI. Reportez-vous à la documentation du serveur Web pour de plus amples informations sur les caractéristiques du programme CGI.
Si vous souhaitez sécuriser vos installations et initialisations via connexion WAN, vous pouvez utiliser des certificats numériques permettant d'authentifier le serveur et le client. L'initialisation via une connexion WAN peut utiliser un certificat numérique pour établir l'identité du serveur ou du client au cours d'une transaction en ligne. Les certificats numériques sont délivrés par une autorité de certification (CA). Ces certificats contiennent un numéro de série, des dates d'expiration, une copie de la clé publique du détenteur du certificat et la signature numérique de l'autorité de certification.
Si vous souhaitez demander l'authentification du serveur ou du client et du serveur au cours de l'installation, vous devez installer un certificat numérique sur le serveur. Si vous utilisez des certificats numériques, conformez-vous aux directives suivantes :
Un certificat numérique doit être au format de fichier PKCS#12 (Public-Key Cryptography Standards #12).
Si vous créez vos propres certificats, créez-les au format PKCS#12.
Si vous recevez vos certificats d'autorités de certification tierces, demandez à ce qu'ils soient au format PKCS#12.
Pour plus d'informations sur l'utilisation des certificats PKCS#12 pendant l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.
L'initialisation via une connexion WAN offre différentes fonctions de sécurité, mais ne gère pas les problèmes potentiels d'insécurité indiqués ci-dessous.
Attaques par déni de service (DoS) : une attaque par déni de service peut revêtir des formes diverses ; son but est d'empêcher les utilisateurs d'accéder à un service spécifique. Elle peut saturer un réseau avec une grande quantité de données ou consommer des ressources de manière excessive. D'autres attaques par déni de service manipulent les données transmises entre les systèmes en transit. La méthode d'installation et initialisation via connexion WAN ne protège pas les serveurs ou les clients contre ces attaques.
Binaires altérés sur les serveurs : la méthode d'installation et initialisation via une connexion WAN ne vérifie pas l'intégrité de sa miniracine d'initialisation ni de l'archive Solaris Flash avant d'effectuer l'installation. Avant d'effectuer votre installation, vérifiez l'intégrité des binaires Solaris auprès de la base de données Solaris Fingerprint à l'adresse http://sunsolve.sun.com.
Confidentialité de la clé de hachage et de la clé de chiffrement : si vous utilisez des clés de chiffrement ou une clé de hachage avec l'installation et initialisation via une connexion WAN, vous devez entrer la valeur de la clé sur la ligne de commande au cours de l'installation. Prenez toutes les précautions nécessaires pour que les valeurs de ces clés demeurent confidentielles.
Choix d'un service d'attribution de noms sur le réseau : si vous utilisez un service d'attribution de noms sur votre réseau, vérifiez l'intégrité de vos serveurs de noms avant de procéder à l'installation et Initialisation via connexion WAN.
Avant de configurer votre réseau en vue d'une installation et initialisation via connexion WAN, vous devez rassembler une série d'informations. Vous pouvez noter ces informations au moment de la préparation de l'installation via connexion WAN.
Utilisez les fiches de travail suivantes pour enregistrer les informations d'installation pour votre réseau :
Tableau 11–2 Fiche de travail pour rassembler les informations serveurTableau 11–3 Fiche de travail pour rassembler les informations client
Informations |
Remarques |
---|---|
Adresse IP du sous-réseau du client |
|
Adresse IP du routeur du client |
|
Adresse IP du client |
|
Masque de sous-réseau du client |
|
Nom d'hôte du client |
|
Adresse MAC du client |
|
Ce chapitre décrit les tâches permettant de préparer votre réseau à une installation et initialisation via connexion WAN.
Création des fichiers d'installation JumpStart personnalisés
(Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP
(Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN
Les tableaux présentés ci-après dressent la liste des tâches à effectuer pour la préparation à une installation et initialisation via connexion WAN.
Pour obtenir la liste des tâches à effectuer pour la préparation d'une installation et initialisation via une connexion WAN sécurisée, reportez-vous au Tableau 12–1.
Pour obtenir la description d'une installation et initialisation via une connexion WAN sécurisée à l'aide du protocole HTTPS, reportez-vous à la section Configuration d'une installation et Initialisation via connexion WAN sécurisée.
Pour obtenir la liste des tâches à effectuer pour la préparation d'une installation et initialisation via une connexion WAN non sécurisée, reportez-vous au Tableau 12–2.
Pour obtenir la description d'une installation et initialisation via une connexion WAN non sécurisée, reportez-vous à la rubriqueConfiguration d'une installation et Initialisation via connexion WAN non sécurisée.
Pour utiliser un serveur DHCP ou de journalisation, vous devez effectuer les tâches facultatives indiquées au bas de chaque tableau.
Tableau 12–1 Liste des tâches : préparation à une installation et initialisation via connexion WAN sécurisée
Tâche |
Description |
Voir |
---|---|---|
Choisir les fonctions de sécurité à utiliser pour votre installation. |
Consultez les fonctions et configurations de sécurité afin de déterminer le niveau de sécurité à appliquer à votre installation et initialisation via connexion WAN. |
Protection des données lors d'une installation et Initialisation via connexion WAN Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation |
Rassembler les informations d'installation et initialisation via connexion WAN. |
Complétez la fiche de travail afin d'enregistrer toutes les informations nécessaires à l'installation et initialisation via une connexion WAN. |
Collecte d'informations pour les installations et initialisations via une connexion WAN |
Créer le répertoire document racine sur le serveur d'initialisation via une connexion WAN. |
Créez le répertoire document racine ainsi que tous les répertoires et sous-répertoires nécessaires aux fichiers de configuration et d'installation. | |
Créer la miniracine de l'initialisation via une connexion WAN. |
Pour créer la miniracine, utilisez la commande setup_install_server. |
SPARC : procédure de création d'une miniracine de l'initialisation via connexion WAN |
Vérifier la prise en charge de l'initialisation via connexion WAN par le système client. |
Vérifiez que l'OBP client prend en charge les arguments de l'initialisation via connexion WAN. | |
Installer le programme wanboot sur le serveur d'initialisation via connexion WAN. |
Copiez le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN. |
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN |
Installer le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN. |
Copiez le programme wanboot-cgi dans le répertoire CGI du serveur d'initialisation via une connexion WAN. |
procédure de copie du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN |
(Facultatif) Définir le serveur de journalisation. |
Configurez un système dédié pour l'affichage des messages d'initialisation et d'installation. |
(Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN |
Définir la hiérarchie /etc/netboot. |
Complétez la hiérarchie /etc/netboot à l'aide des fichiers de configuration et de sécurité nécessaires à l'installation et initialisation via une connexion WAN. |
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN |
Configurer le serveur Web afin qu'il utilise l'HTTP sécurisé pour une installation et initialisation via une connexion WAN plus sûre. |
Identifiez les exigences du serveur Web pour une installation via connexion WAN avec l'HTTPS. | |
Formater les certificats numériques pour une installation et initialisation via connexion WAN plus sûre. |
Divisez le fichier PKCS#12 en une clé privée et un certificat pour l'installation via une connexion WAN. |
(Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client |
Créer une clé de hachage et une clé de chiffrement pour une installation et initialisation via connexion WAN plus sûre. |
Utilisez la commande wanbootutil keygen pour créer les clés HMAC SHA1, 3DES ou AES. |
(Facultatif) Création d'une clé de hachage et de chiffrement |
Créer l'archive Solaris Flash. |
Pour créer une archive du logiciel que vous souhaitez installer sur le client, utilisez la commande flarcreate. | |
Créer les fichiers d'installation de la méthode JumpStart personnalisée. |
Utilisez un éditeur de texte pour créer les fichiers suivants :
| |
Créer le fichier de configuration système. |
Définissez les informations de configuration dans le fichier system.conf. | |
Créer le fichier de configuration de l'initialisation via une connexion WAN. |
Définissez les informations de configuration dans le fichier wanboot.conf. | |
(Facultatif) Configurer le serveur DHCP pour la prise en charge de l'installation et initialisation via connexion WAN. |
Définissez les options et macros fournisseur de Sun dans le serveur DHCP. |
Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches |
Tableau 12–2 Liste des tâches : préparation à une installation et initialisation via connexion WAN non sécurisée
Tâche |
Description |
Voir |
---|---|---|
Choisir les fonctions de sécurité à utiliser pour votre installation. |
Consultez les fonctions et configurations de sécurité afin de déterminer le niveau de sécurité à appliquer à votre installation et initialisation via connexion WAN. |
Protection des données lors d'une installation et Initialisation via connexion WAN Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation |
Rassembler les informations d'installation et initialisation via connexion WAN. |
Complétez la fiche de travail afin d'enregistrer toutes les informations nécessaires à l'installation et initialisation via une connexion WAN. |
Collecte d'informations pour les installations et initialisations via une connexion WAN |
Créer le répertoire document racine sur le serveur d'initialisation via une connexion WAN. |
Créez le répertoire document racine ainsi que tous les répertoires et sous-répertoires nécessaires aux fichiers de configuration et d'installation. | |
Créer la miniracine de l'initialisation via une connexion WAN. |
Pour créer la miniracine, utilisez la commande setup_install_server. |
SPARC : procédure de création d'une miniracine de l'initialisation via connexion WAN |
Vérifier la prise en charge de l'initialisation via connexion WAN par le système client. |
Vérifiez que l'OBP client prend en charge les arguments de l'initialisation via connexion WAN. | |
Installer le programme wanboot sur le serveur d'initialisation via connexion WAN. |
Copiez le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN. |
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN |
Installer le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN. |
Copiez le programme wanboot-cgi dans le répertoire CGI du serveur d'initialisation via une connexion WAN. |
procédure de copie du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN |
(Facultatif) Définir le serveur de journalisation. |
Configurez un système dédié pour l'affichage des messages d'initialisation et d'installation. |
(Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN |
Définir la hiérarchie /etc/netboot. |
Complétez la hiérarchie /etc/netboot à l'aide des fichiers de configuration et de sécurité nécessaires à l'installation et initialisation via une connexion WAN. |
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN |
(Facultatif) Créer une clé de hachage. |
Pour créer la clé HMAC SHA1, utilisez la commande wanbootutil keygen. Pour les installations non sécurisées contrôlant l'intégrité des données, effectuez cette tâche pour créer une clé de hachage HMAC SHA1. |
(Facultatif) Création d'une clé de hachage et de chiffrement |
Créer l'archive Solaris Flash. |
Pour créer une archive du logiciel que vous souhaitez installer sur le client, utilisez la commande flarcreate. | |
Créer les fichiers d'installation de la méthode JumpStart personnalisée. |
Utilisez un éditeur de texte pour créer les fichiers suivants :
| |
Créer le fichier de configuration système. |
Définissez les informations de configuration dans le fichier system.conf. | |
Créer le fichier de configuration de l'initialisation via une connexion WAN. |
Définissez les informations de configuration dans le fichier wanboot.conf. | |
(Facultatif) Configurer le serveur DHCP pour la prise en charge de l'installation et initialisation via connexion WAN. |
Définissez les options et macros fournisseur de Sun dans le serveur DHCP. |
Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches |
Le serveur d'initialisation via une connexion WAN est un serveur Web fournissant les données d'initialisation et de configuration lors d'une installation et initialisation via une connexion WAN. Pour connaître la configuration système requise du serveur d'initialisation via une connexion WAN, reportez-vous au Tableau 11–1.
Cette section décrit les tâches nécessaires à la configuration du serveur d'initialisation via connexion WAN en vue d'une installation et initialisation via connexion WAN.
Création de la miniracine de l'initialisation via connexion WAN
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN
Copie du programme CGI WAN Boot sur le serveur d'initialisation via une connexion WAN
Le logiciel du serveur Web doit pouvoir accéder aux fichiers de configuration et d'installation sur le serveur d'initialisation via une connexion WAN. Pour ce faire, vous pouvez par exemple stocker les fichiers de configuration et d'installation dans le répertoire document racine du serveur d'initialisation via une connexion WAN.
Si vous souhaitez utiliser un répertoire document racine pour servir les fichiers de configuration et d'installation, il est nécessaire d'en créer un. Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour obtenir des informations détaillées sur la conception de votre répertoire racine de document, reportez-vous à la section Stockage des fichiers d'installation et de configuration dans le répertoire document racine.
Pour lire un exemple de définition de ce répertoire, reportez-vous à la section Procédure de création du répertoire racine du document.
Une fois le répertoire document racine défini, vous devez créer la miniracine de l'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous à la section Création de la miniracine de l'initialisation via connexion WAN.
L'initialisation via connexion WAN utilise une miniracine de Solaris spéciale modifiée pour l'installation et initialisation via connexion WAN. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris. Pour réaliser une installation et initialisation via une connexion WAN, vous devez copier la miniracine à partir du DVD Solaris ou du Logiciel Solaris & - 1 sur le serveur d'initialisation via une connexion WAN. Utilisez l'option -w de la commande setup_install_server pour copier cette miniracine depuis le média logiciel Solaris sur le disque dur de votre système.
Cette procédure crée une miniracine SPARC de l'initialisation via connexion WAN avec un support SPARC. Si vous souhaitez servir cette miniracine à partir d'un serveur basé sur x86, vous devez créer la miniracine sur une machine SPARC. Après l'avoir créée, copiez-la dans le répertoire document racine du serveur basé sur x86.
Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas Volume Manager, reportez-vous au manuel System Administration Guide: Devices and File Systems.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.
Le système doit satisfaire aux exigences suivantes :
comporter une unité de CD-ROM ou de DVD-ROM ;
faire partie du réseau et du service d'attribution de noms du site.
Si vous utilisez un service d'attribution de noms, le système doit déjà figurer dans l'un de ces services : NIS, NIS+, DNS ou LDAP. Si vous n'en utilisez pas, vous devez identifier ce système conformément aux principes en vigueur au sein de votre entreprise.
Insérez le Logiciel Solaris & - 1 ou le DVD Solaris dans le lecteur du serveur d'installation.
Créez un répertoire pour la miniracine de l'initialisation via une connexion WAN et l'image de l'installation Solaris.
# mkdir -p wan-dir-path install-dir-path |
Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.
Spécifie le répertoire où la miniracine de l'initialisation via connexion WAN doit être créée sur le serveur d'installation. Ce répertoire doit être adapté à des miniracines dont la taille est généralement de 250 Mo.
Spécifie le répertoire du serveur d'installation où l'image du logiciel Solaris doit être copiée. Ce répertoire peut ensuite être supprimé au cours de cette procédure.
Placez-vous dans le répertoire Tools du disque monté.
# cd /cdrom/cdrom0/Solaris_10/Tools |
Dans l'exemple ci-dessus, cdrom0 correspond au chemin d'accès au lecteur contenant le média du système d'exploitation Solaris.
Copiez la miniracine de l'initialisation via connexion WAN et l'image du logiciel Solaris vers le disque dur du serveur d'initialisation via connexion WAN.
# ./setup_install_server -w wan-dir-path install-dir-path |
Indique le répertoire de copie de la miniracine de l'initialisation via connexion WAN.
Indique le répertoire dans lequel sera copiée l'image du logiciel Solaris.
La commande setup_install_server indique si l'espace disque disponible est suffisant pour les images disque de Logiciel Solaris. Utilisez la commande df -kl pour déterminer l'espace disque disponible.
La commande setup_install_server -w crée la miniracine de l'initialisation via connexion WAN et une image d'installation réseau du logiciel Solaris.
(Facultatif) Supprimez l'image d'installation réseau.
L'image du logiciel Solaris n'est pas nécessaire à l'installation via connexion WAN au moyen de l'archive Solaris Flash. Vous pouvez libérer de l'espace disque, si vous ne comptez pas utiliser l'image d'installation réseau pour d'autres installations. Entrez la commande suivante pour supprimer l'image d'installation réseau :
# rm -rf install-dir-path |
Pour que le serveur d'initialisation via une connexion WAN puisse accéder à la miniracine de l'initialisation via une connexion WAN, procédez de l'une des manières suivantes :
Créez un lien symbolique vers la miniracine de l'initialisation via une connexion WAN dans le répertoire document racine du serveur d'initialisation via une connexion WAN.
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier la miniracine de l'initialisation via connexion WAN.
Spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN.
Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
Spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN.
Spécifie le chemin d'accès au répertoire de la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.
Spécifie le nom de la miniracine de l'initialisation via connexion WAN. Fournissez un nom de fichier descriptif, par exemple miniroot.s10_sparc.
Utilisez la commande setup_install_server(1M) avec l'option -w pour copier la miniracine de l'initialisation via une connexion WAN et l'image du logiciel Solaris dans le répertoire /export/install/Solaris_10 de wanserver-1.
Insérez le support Logiciel Solaris dans le lecteur relié à wanserver-1. Entrez les commandes suivantes :
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Déplacez la miniracine de l'initialisation via une connexion WAN vers le répertoire document racine (/opt/apache/htdocs/) du serveur d'initialisation via une connexion WAN. Dans cet exemple, le nom de la miniracine de l'initialisation via une connexion WAN est miniroot.s10_sparc.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Après avoir créé la miniracine de l'initialisation via une connexion WAN, assurez-vous que l'OBP client prend en charge l'initialisation via une connexion WAN. Pour plus d'instructions, reportez-vous à la section Vérification de la prise en charge de l'initialisation via une connexion WAN sur le client.
Pour plus d'informations sur la commande setup_install_server, reportez-vous à la page de manuel install_scripts(1M).
Pour effectuer une installation et initialisation via une connexion WAN sans surveillance, l'OBP client doit prendre en charge l'initialisation via une connexion WAN. Si tel n'est pas le cas, vous pouvez tout de même effectuer cette installation en fournissant les programmes requis sur un CD local.
Pour définir si le client prend en charge l'initialisation via une connexion WAN, vérifiez les variables de configuration de l'OBP client. Effectuez la procédure ci-dessous pour vérifier que le client prend en charge l'initialisation via une connexion WAN.
La procédure décrite ci-après indique comment déterminer si cela est le cas.
Connectez-vous en tant que superutilisateur ou prenez un rôle équivalent.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Vérifiez que les variables de configuration de l'OBP prennent en charge l'initialisation via connexion WAN.
# eeprom | grep network-boot-arguments |
Si la variable network-boot-arguments s'affiche ou si la commande précédente renvoie le résultat network-boot-arguments: data not available, l'OBP prend en charge les installations et initialisations via connexion WAN. Il n'est pas nécessaire de mettre à jour l'OBP avant de procéder à l'installation et initialisation via connexion WAN.
Si la commande précédente ne renvoie aucun résultat, l'OBP ne prend pas en charge les installations et initialisations via une connexion WAN. Vous devez effectuer une des tâches indiquées ci-dessous.
Mettez à jour l'OBP client. Pour les clients OBP capables de prendre en charge les installations avec initialisation WAN, consultez la documentation du système pour connaître la procédure de mise à jour de l'OBP.
Certains clients OBP ne prennent pas en charge l'initialisation via la connexion WAN. Si c'est le cas de votre client, utilisez l'option suivante.
Une fois les préparatifs terminés, effectuez l'installation et initialisation via une connexion WAN à partir du Logiciel Solaris CD1 ou du DVD. Cette option fonctionne pour tout client OBP ne prenant pas en charge l'initialisation WAN.
Pour obtenir des instructions sur l'initialisation du client à partir de CD1, reportez-vous à la section Installation et initialisation via une connexion WAN avec un CD local. Pour poursuivre les préparatifs de l'installation et de l'initialisation via une connexion WAN, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
La commande suivante indique comment vérifier la prise en charge de l'initialisation via connexion WAN par l'OBP client.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Dans cet exemple, le résultat network-boot-arguments: data not available indique que l'OBP du client prend en charge l'initialisation via connexion WAN.
Après avoir vérifié que l'OBP client prend en charge l'initialisation via une connexion WAN, copiez le programme wanboot sur le serveur d'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous à la section Installation du programme wanboot sur le serveur d'initialisation via connexion WAN.
Si l'OBP client ne prend pas en charge l'initialisation via une connexion WAN, il n'est pas nécessaire de copier le programme wanboot sur le serveur correspondant. Vous devez fournir le programme wanboot au client sur un CD local. Pour continuer l'installation, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Pour de plus amples informations sur la commande setup_install_server, reportez-vous au Chapitre4Installation réseau - Présentation.
L'initialisation via connexion WAN utilise un programme d'initialisation de second niveau spécial (wanboot) pour installer le client. Le programme wanboot charge la miniracine de l'initialisation via connexion WAN, les fichiers de configuration client et les fichiers d'installation nécessaires à l'installation et initialisation via connexion WAN.
Pour réaliser une installation et initialisation via connexion WAN, il est nécessaire de fournir le programme wanboot au client durant l'installation. Vous pouvez fournir ce programme au client en procédant comme indiqué ci-dessous.
Si la PROM de votre client prend en charge l'initialisation via connexion WAN, vous pouvez transmettre au client le programme depuis le serveur d'initialisation via connexion WAN . Installez le programme wanboot sur le serveur d'initialisation via une connexion WAN.
Pour savoir si la PROM du client prend en charge l'initialisation via connexion WAN, reportez-vous à la section Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client.
Si la PROM du client ne prend pas en charge l'initialisation via connexion WAN, vous devez transmettre le programme au client via un CD local. Si tel est le cas, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN pour poursuivre les préparatifs de l'installation.
Cette procédure permet de copier le programme wanboot à partir du média Solaris sur le serveur d'initialisation via une connexion WAN.
Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas Volume Manager, reportez-vous au manuel System Administration Guide: Devices and File Systems.
Vérifiez la prise en charge de l'initialisation via une connexion par le système client. Reportez-vous à la section Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client pour plus d'informations.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'installation.
Insérez le Logiciel Solaris & - 1 ou le DVD Solaris dans le lecteur du serveur d'installation.
Passez au répertoire de la plate-forme sun4u du Logiciel Solaris & - 1 CD ou du DVD Solaris.
# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ |
Copiez le programme wanboot sur le serveur d'installation.
# cp wanboot /document-root-directory/wanboot/wanboot-name |
Spécifie le répertoire document racine du serveur d'initialisation via une connexion WAN.
Spécifie le nom du programme wanboot. Fournissez ce nom de fichier descriptif, par exemple wanboot.s10_sparc.
Assurez-vous que le programme wanboot est accessible au serveur d'initialisation via connexion WAN de l'une des façons indiquées ci-dessous.
Créez un lien symbolique vers le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN.
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
Indique le répertoire document racine du serveur d'initialisation via une connexion WAN auquel vous souhaitez relier le programme wanboot.
Spécifie le chemin d'accès au programme wanboot.
Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
Spécifie le chemin d'accès au programme wanboot.
Spécifie le chemin d'accès au répertoire du programme wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.
Spécifie le nom du programme wanboot. Fournissez un nom de fichier descriptif, par exemple wanboot.s10_sparc.
Pour installer le programme wanboot sur le serveur d'initialisation via une connexion WAN, copiez le programme à partir du média logiciel Logiciel Solaris vers le répertoire document racine du serveur d'initialisation via une connexion WAN.
Insérez le DVD Solaris ou le Logiciel Solaris & - 1 dans le lecteur de support relié à wanserver-1 et entrez les commandes suivantes :
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Dans cet exemple, le nom du programme wanboot est wanboot.s10_sparc.
Après avoir installé le programme wanboot sur le serveur d'initialisation via une connexion WAN, créez la hiérarchie /etc/netboot sur ce même serveur. Pour plus d'informations, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Pour obtenir des informations générales sur le programme wanboot, consultez la section Qu'est-ce que l'Initialisation via connexion WAN ?.
Au cours de l'installation, l'initialisation via une connexion WAN se réfère au contenu de la hiérarchie /etc/netboot sur le serveur Web pour obtenir des instructions sur la procédure d'installation. Ce répertoire contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification nécessaire à une installation et initialisation via connexion WAN. Au cours de l'installation, le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN. Le programme wanboot-cgi transmet ensuite le système de fichiers d'initialisation via une connexion WAN au client.
Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via une connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.
Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients de votre réseau, stockez les fichiers de configuration à partager dans le répertoire /etc/netboot.
Configuration réseau : si vous souhaitez que les informations de configuration ne soient partagées que par les ordinateurs d'un sous-réseau donné, stockez les fichiers de configuration à partager dans un sous-réperoire du répertoire /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/net-ip |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client.
Configuration client spécifique : si vous souhaitez qu'un client spécifique utilise le système de fichiers d'initialisation, stockez les fichiers du système d'initialisation dans un sous-répertoire du répertoire /etc/netboot . Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/net-ip/client-ID |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur.
Pour obtenir des informations de planification détaillées sur ces configurations, reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
La procédure décrite ci-après indique comment créer la hiérarchie /etc/netboot.
Suivez les étapes ci-dessous pour créer la hiérarchie /etc/netboot.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.
Créez le répertoire /etc/netboot.
# mkdir /etc/netboot |
Modifiez les permissions du répertoire /etc/netboot à 700.
# chmod 700 /etc/netboot |
Modifiez le propriétaire du répertoire /etc/netboot en propriétaire du serveur Web.
# chown web-server-user:web-server-group /etc/netboot/ |
Spécifie l'utilisateur propriétaire du processus du serveur Web.
Spécifie le groupe propriétaire du processus du serveur Web.
Quittez le rôle de superutilisateur.
# exit |
Endossez le rôle d'utilisateur propriétaire du serveur Web.
Créez le sous-répertoire client du répertoire /etc/netboot.
# mkdir -p /etc/netboot/net-ip/client-ID |
Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.
Spécifie l'adresse réseau IP du sous-réseau du client.
Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. Le répertoire ID_client doit être un sous-répertoire du répertoire ip_réseau.
Pour chaque répertoire de la hiérarchie /etc/netboot, modifiez les permissions à 700.
# chmod 700 /etc/netboot/dir-name |
L'exemple ci-après indique la procédure de création de la hiérarchie /etc/netboot pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0. Dans cet exemple, l'utilisateur nobody et le groupe admin sont propriétaires du processus serveur Web.
Les commandes décrites dans cet exemple exécutent les tâches ci-dessous.
Créez le répertoire /etc/netboot.
Modifiez les autorisations du répertoire /etc/netboot sur 700.
Modifiez la propriété du répertoire /etc/netboot en l'attribuant au propriétaire du processus du serveur Web.
Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.
Créez un sous-répertoire de /etc/netboot nommé comme le sous-réseau (192.168.198.0).
Créez un sous-répertoire du répertoire du sous-réseau nommé comme l'ID client.
Modifiez les autorisations du sous-répertoire /etc/netboot sur 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Après avoir créé la hiérarchie /etc/netboot, copiez le programme CGI de l'initialisation via une connexion WAN sur le serveur correspondant. Pour plus d'informations, reportez-vous à la section Copie du programme CGI WAN Boot sur le serveur d'initialisation via une connexion WAN.
Pour obtenir des informations de planification détaillées sur la conception de la hiérarchie /etc/netboot, reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Le programme wanboot-cgi crée les flux de données transmettant les fichiers suivants depuis le serveur d'initialisation via une connexion WAN au client :
programme wanboot ;
système de fichiers d'initialisation via connexion WAN ;
miniracine de l'initialisation via connexion WAN ;
Le programme wanboot-cgi est installé sur le système lorsque vous installez le logiciel version Solaris actuelle. Pour activer le serveur d'initialisation via connexion WAN afin d'utiliser ce programme, copiez celui-ci dans le répertoire cgi-bin du serveur d'initialisation via connexion WAN.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.
Copiez le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
Spécifie le répertoire racine du serveur Web sur le serveur d'initialisation via connexion WAN.
Sur le serveur d'initialisation via connexion WAN, réglez les autorisations du programme CGI sur 755.
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
Une fois que vous avez copié le programme CGI de l'initialisation via une connexion WAN sur le serveur correspondant, vous avez la possibilité de définir un serveur de journalisation, le cas échéant. Pour plus d'informations, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.
Si vous ne souhaitez pas définir de serveur de journalisation distinct, reportez-vous à la section (Facultatif) Protection de données à l'aide d'HTTPS pour savoir comment définir les fonctions de sécurité d'une installation et initialisation via une connexion WAN.
Pour obtenir des informations générales sur le programme wanboot-cgi, consultez la section Qu'est-ce que l'Initialisation via connexion WAN ?.
Par défaut, tous les messages de journalisation via une connexion WAN sont affichés sur le système client. Ce paramètre par défaut vous permet de déboguer rapidement les problèmes d'installation.
Si vous souhaitez enregistrer les messages d'initialisation et d'installation sur un système autre que le client, vous devez définir un serveur de journalisation. Si vous souhaitez utiliser un serveur de journalisation via HTTPS au cours de l'installation, vous devez configurer le serveur d'initialisation via connexion WAN comme serveur de journalisation.
Pour configurer le serveur de journalisation, procédez comme indiqué ci-dessous.
Copiez le script bootlog-cgi dans le répertoire du script CGI du serveur de journalisation.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
Spécifie le répertoire cgi-bin du répertoire du serveur Web du serveur de journalisation.
Modifiez les autorisations du script bootlog-cgi sur 755.
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
Définissez la valeur du paramètre boot_logger dans le fichier wanboot.conf.
Dans le fichier wanboot.conf, spécifiez l'URL du script bootlog-cgi sur le serveur de journalisation.
Pour de plus amples informations sur la définition des paramètres dans le fichier wanboot.conf, consultez la section Création du fichier wanboot.conf.
Lors de l'installation, les messages de journalisation de l'initialisation et de l'installation sont enregistrés dans le répertoire /tmp du serveur de journalisation. Le fichier se nomme bootlog.nomhôte, où nomhôte correspond au nom d'hôte du client.
L'exemple suivant configure le serveur d'initialisation via une connexion WAN comme serveur de journalisation :
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Une fois le serveur de journalisation défini, il vous est possible de définir l'installation et initialisation via une connexion WAN pour utiliser des certificats numériques et des clés de sécurité. Reportez-vous à la section (Facultatif) Protection de données à l'aide d'HTTPS pour savoir comment définir les fonctions de sécurité d'une installation et initialisation via une connexion WAN.
Pour protéger vos données durant le transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec Secure Sockets Layer (HTTPS). Si vous souhaitez utiliser une configuration d'installation plus sécurisée (reportez-vous à la section Configuration d'une installation et Initialisation via connexion WAN sécurisée), vous devez activer votre serveur Web pour pouvoir utiliser le protocole HTTPS.
Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez les procédures de cette section. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.
Pour ce faire, procédez comme indiqué ci-dessous.
Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.
Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour obtenir des informations sur ces fonctions, reportez-vous à la documentation indiquée ci-dessous.
Pour des informations sur l'activation du protocole SSL sur les serveurs Web SunONE et iPlanet, reportez-vous à la documentation SunONE et iPlanet à l'adresse suivante : http://docs.sun.com/.
Pour plus d'informations sur l'activation du protocole SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante : http://httpd.apache.org/docs-project/.
Si le serveur Web que vous utilisez n'est pas mentionné ci-dessus, reportez-vous à la documentation relative à ce dernier.
Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.
Pour plus d'informations sur l'utilisation des certificats numériques avec l'initialisation via connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.
Fournissez un certificat de confiance au client.
Pour plus d'informations sur la création d'un certificat de confiance, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.
Créez une clé de hachage et une clé de chiffrement.
Pour obtenir des instructions sur la création de clés, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.
(Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.
Pour de plus amples informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.
Cette section décrit les modalités d'utilisation des clés et des certificats numériques dans votre installation et initialisation via une connexion WAN.
La méthode d'installation et d'initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation sur HTTPS avec authentification serveur ou authentification serveur et client. Pour connaître les conditions requises et les instructions relatives à l'utilisation des fichiers PKCS#12, reportez-vous à la section Exigences des certificats numériques.
Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :
Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.
Insérez le certificat de confiance dans le fichier truststore du client dans la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.
(Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.
La commande wanbootutil fournit des options pour exécuter ces tâches.
Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.
Effectuez les étapes décrites ci-après pour créer un certificat de confiance et une clé privée client.
Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
Pour obtenir des informations générales sur la hiérarchie /etc/netboot , reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Pour obtenir des instructions à propos de la création de hiérarchie /etc/netboot , reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
(Facultatif) Voulez-vous utiliser l'authentification client ?
Si vous ne souhaitez pas l'utiliser, consultez la section (Facultatif) Création d'une clé de hachage et de chiffrement.
Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-dessous.
Insérez le certificat client dans le fichier certstore du client.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Spécifie le nom du fichier de clé privée SSL du client à créer à partir du fichier PKCS#12 divisé.
Insérez la clé privée dans le fichier keystore du client.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
Insère une clé privée SSL dans le fichier keystore du client.
Spécifie le nom du fichier de clé privée du client créé à l'étape précédente.
Spécifie le chemin d'accès au fichier keystore du client.
Dans l'exemple indiqué ci-après, vous utilisez un fichier PKCS#12 afin d'installer le client 010003BA152A42 sur le sous-réseau 192.168.198.0. La commande extrait un certificat à partir d'un fichier PKCS#12 appelé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.
Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Une fois le certificat numérique créé, vous devez créer une clé de hachage et de chiffrement. Pour plus d'informations, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.
Pour plus d'informations sur la procédure de création des certificats de confiance, reportez-vous à la page de manuel wanbootutil(1M).
Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot.
À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.
Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.
Pour créer une clé de hachage et une clé de chiffrement, effectuez les opérations suivantes :
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Créez la clé HMAC SHA1 maîtresse.
# wanbootutil keygen -m |
Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via une connexion WAN.
Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
Crée la clé de hachage du client à partir de la clé maîtresse.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.
Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.
Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.
Choisissez de créer ou non une clé de chiffrement pour le client.
La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.
Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.
Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Passez à l'Étape 6.
Créer une clé de chiffrement pour le client.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type |
Crée la clé de chiffrement du client.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.
Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.
Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.
Installez les clés sur le système client.
Pour obtenir des instructions sur l'installation de clés sur le client, consultez Installation de clés sur le client.
L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée également une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0.
Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Une fois les clés de hachage et de chiffrement créées, vous devez créer les fichiers d'installation. Pour plus d'instructions, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.
Pour obtenir des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la section Protection des données lors d'une installation et Initialisation via connexion WAN .
Pour plus d'informations sur la création des clés de hachage et de chiffrement, reportez-vous à la page de manuel wanbootutil(1M).
L'installation et initialisation via connexion WAN effectue une installation JumpStart personnalisée pour installer une archive Solaris Flash sur le client. La méthode d'installation JumpStart personnalisée est une interface de ligne de commande vous permettant d'installer automatiquement plusieurs systèmes, en fonction des profils que vous créez. Ces profils définissent la configuration minimale requise par l'installation des logiciels. Vous pouvez également y inclure des scripts de shell correspondant à des tâches exécutables avant et après l'installation. Choisissez le profil et les scripts que vous souhaitez utiliser pour l'installation ou la mise à niveau. La méthode d'installation JumpStart personnalisée procède à l'installation de votre système ou à sa mise à niveau d'après le profil et les scripts que vous aurez sélectionnés. Vous pouvez aussi utiliser un fichier sysidcfg pour spécifier des informations de configuration de sorte que l'installation JumpStart personnalisée ne requière aucune intervention manuelle.
Pour préparer les fichiers JumpStart personnalisés en vue d'une installation et initialisation via connexion WAN, exécutez les tâches suivantes :
Pour de plus amples informations sur l'installation JumpStart personnalisée, reportez-vous au Chapitre 2, Méthode d’installation JumpStart personnalisée – Présentation du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
La fonction d'installation Solaris Flash permet d'utiliser une seule installation de référence du système d'exploitation Solaris, sur un système appelé « système maître ». Vous pouvez ensuite créer l'archive Solaris Flash, réplique de l'image du système maître. Vous pouvez installer l'archive Solaris Flash sur d'autres systèmes du réseau en créant des systèmes clones.
Cette section explique comment créer une archive Solaris Flash.
Avant de créer une archive Solaris Flash, installez le système maître.
Pour plus d'informations sur l'installation d'un système maître, reportez-vous à la section Installation du système maître du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Pour de plus amples informations à propos des archives Solaris Flash, reportez-vous à la section Chapitre 1, Solaris Flash - Présentation du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Problèmes de taille des fichiers :
Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.
Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.
La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.
Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Initialisez le système maître.
Faites-le fonctionner à l'état le plus inactif possible. Si possible, exécutez le système en mode monoutilisateur. Si cela s'avère impossible, fermez toutes les applications à archiver et toutes celles qui requièrent d'importantes ressources en terme de système d'exploitation.
Pour créer l'archive, exécutez la commande flarcreate.
# flarcreate -n name [optional-parameters] document-root/flash/filename |
Nom que vous assignez à l'archive. Le nom spécifié correspond à la valeur du mot-clé content_name.
Vous pouvez utiliser plusieurs options de la commande flarcreate pour personnaliser votre archive Solaris Flash. Ces options sont décrites en détails au Chapitre 5, Solaris Flash – Références du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Chemin d'accès au sous-répertoire Solaris Flash du répertoire document racine du serveur d'installation.
Nom du fichier d'archive.
Pour économiser de l'espace disque, vous pouvez utiliser l'option -c de la commande flarcreate afin de compresser l'archive. Toutefois, une archive compressée peut affecter les performances de votre installation et initialisation via connexion WAN. Pour plus d'informations sur la création d'une archive compressée, reportez-vous à la page de manuel flarcreate(1M).
Si la création d'archive s'est déroulée avec succès, la commande flarcreate renvoie un code de sortie de 0.
Si la création d'archive a échoué, la commande flarcreate renvoie un code de sortie différent de 0.
Dans cet exemple, vous créez une archive Solaris Flash en clonant le système serveur de l'initialisation via une connexion WAN avec le nom d'hôte wanserver. Le nom de l'archive est sol_10_sparc, et cette archive est copiée à partir du système maître. L'archive est une copie exacte du système maître. L'archive est stockée dans sol_10_sparc.flar. Vous sauvegardez l'archive dans le sous-répertoire flash/archives du répertoire document racine sur le serveur d'initialisation via connexion WAN.
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Une fois l'archive Solaris Flash créée, préconfigurez les informations client dans le fichier sysidcfg. Pour plus d'instructions, reportez-vous à la section Création du fichier sysidcfg.
Pour obtenir les instructions détaillées de création d'une archive Solaris Flash, reportez-vous auChapitre 3, Création d’archives Solaris Flash – Tâches du Guide d’installation de Solaris 10 10/08 : Archives Solaris Flash - Création et installation.
Pour plus d'informations sur la commande flarcreate, reportez-vous à la page de manuel flarcreate(1M).
Pour préconfigurer un système, vous pouvez spécifier un certain nombre de mots-clés dans le fichier sysidcfg.
Pour créer un fichier sysidcfg, suivez les étapes ci-dessous.
Créer l'archive Solaris Flash. Reportez-vous à la section Création de l'archive Solaris Flash pour des instructions détaillées.
Créez un fichier sysidcfg dans un éditeur de texte du serveur d'installation.
Entrez-y les mots-clés sysidcfg de votre choix.
Pour de plus amples informations sur les mots-clés sysidcfg, reportez-vous à la section Mots-clés utilisables dans un fichier sysidcfg.
Enregistrez le fichier sysidcfg à un emplacement accessible au serveur d'initialisation via connexion WAN.
Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.
Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.
Si le serveur d'initialisation WAN et le serveur d'installation ne sont pas hébergés sur le même ordinateur, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.
Voici un exemple de fichier sysidcfg pour un système basé sur SPARC. Le nom d'hôte, l'adresse IP et le masque de réseau de ce système ont été préconfigurés dans le service d'attribution de noms utilisé.
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
Une fois le fichier sysidcfg créé, vous devez créer un profil JumpStart personnalisé pour le client. Pour obtenir des instructions, reportez-vous à la section Création d'un profil.
Pour plus d'informations sur les valeurs et mots-clés sysidcfg, consultez la section Préconfiguration à l'aide du fichier sysidcfg.
On appelle profil un fichier texte qui indique au programme JumpStart personnalisé comment installer le logiciel Solaris sur un système. Un profil définit les éléments objets de l'installation ; le groupe de logiciels à installer, par exemple.
Pour de plus amples informations sur la création de profils, reportez-vous à la section Création d’un profil du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Pour créer un profil, suivez les étapes ci-dessous.
Créez le fichier sysidcfg du client. Reportez-vous à la section Création du fichier sysidcfg pour connaître les instructions détaillées.
Créez un fichier texte sur le serveur d'installation. Donnez un nom significatif à votre fichier.
Assurez-vous que le profil porte un nom assez significatif pour l'installation du logiciel Solaris sur un système. Vous pouvez, par exemple, nommer vos profils basic_install, eng_profile ou user_profile.
Ajoutez des mots-clés de profil et leur valeur dans le profil ainsi créé.
Les mots-clés et leurs valeurs sont répertoriés à la section Mots-clés et valeurs des profils du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Les mots-clés de profil et leur valeur tiennent compte des minuscules et des majuscules.
Enregistrez le profil à un emplacement accessible au serveur d'initialisation via connexion WAN.
Enregistrez le profil à l'un des emplacements indiqués ci-dessous.
Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.
Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.
Vérifiez que le profil figure dans root et que le degré de permission est réglé sur 644.
(Facultatif) Testez le profil.
La section Test d’un profil du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations contient des informations sur les tests de profils.
Dans l'exemple suivant, le profil indique que le programme JumpStart personnalisé extrait les archives Solaris Flash à partir d'un serveur HTTP sécurisé.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La liste suivante décrit quelques mots-clés et quelques valeurs issus de cet exemple.
Le profil installe une archive Solaris Flash sur le système clone. Tous les fichiers sont écrasés, comme dans une installation initiale.
L'archive compressée Solaris Flash est extraite à partir d'un serveur HTTP sécurisé.
Les tranches des systèmes de fichiers sont déterminées par le mot-clé filesys, associé à la valeur explicit. La taille de la racine (/) est basée sur la taille de l'archive Solaris Flash. La taille de swap est réglée en fonction des besoins. Ce système de fichiers est installé sur c0t1d0s1. /export/home est basé sur l'espace de disque restant. /export/home est installé sur c0t1d0s7.
Une fois le profil créé, vous devez créer et valider le fichier rules. Pour plus d'instructions, reportez-vous à la section Création d'un fichier rules.
Pour de plus amples informations sur la création d'un profil, reportez-vous à la section Création d’un profil du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Les mots-clés et leurs valeurs sont décrits en détails à la section Mots-clés et valeurs des profils du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Le fichier rules est un fichier texte qui contient une règle pour chaque groupe de systèmes sur lequel vous voulez installer le système d'exploitation Solaris. Chaque règle désigne un groupe de systèmes ayant un ou plusieurs attributs en commun. Chaque règle lie également chaque groupe à un profil. Un profil est un fichier texte qui définit la procédure d'installation du logiciel Solaris sur chaque système d'un groupe. Par exemple, la règle suivante spécifie que le programme JumpStart utilise les informations dans le profil basic_prof pour installer tout système dans le groupe plate-forme sun4u.
karch sun4u - basic_prof - |
Le fichier rules est utilisé pour créer le fichier rules.ok nécessaire aux installations JumpStart personnalisées.
Pour de plus amples informations sur la création d'un fichier de règles (rules), reportez-vous à la section Création du fichier rules du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Pour créer un fichier rules, suivez les étapes ci-dessous.
Créez le profil du client. Pour plus d'informations, reportez-vous à la section Création d'un profil.
Sur le serveur d'installation, créez un fichier texte nommé rules.
Ajoutez une règle au fichier rules pour chaque groupe de systèmes à installer.
Pour de plus amples informations sur la création d'un fichier de règles, reportez-vous à la section Création du fichier rules du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Enregistrez le fichier rules sur le serveur d'installation.
$ ./check -p path -r file-name |
Valide le fichier rules à l'aide du script check de l'image du logiciel version Solaris actuelle, et non à l'aide du script check du système que vous utilisez. chemin est l'image qui figure sur un disque local ou désigne le DVD Solaris ou le Logiciel Solaris & - 1 CD monté.
Utilisez cette option pour lancer la version la plus récente de la commande check si votre système exécute une version antérieure du système d'exploitation Solaris.
Spécifie un autre fichier de règles que celui portant le nom rules. Cette option vous permet de tester la validité d'une règle avant de l'intégrer dans le fichier rules .
Lors de l'exécution du script check, celui-ci établit des rapports sur la validité du fichier rules et de chaque profil. S'il ne rencontre aucune erreur, le script signale : The custom JumpStart configuration is ok. Le script check crée le fichier rules.ok.
Enregistrez le fichier rules.ok à un emplacement accessible au serveur d'initialisation via connexion WAN.
Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.
Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.
Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.
Vérifiez que le fichier rules.ok dépend de root et que le degré de permission est réglé sur 644.
Les programmes JumpStart personnalisés utilisent le fichier rules pour sélectionner le profil d'installation approprié pour le système wanclient-1. Créez un fichier texte appelé rules. Ajoutez ensuite à ce fichier les mots-clés et les valeurs.
L'adresse IP du client est 192.168.198.210, et le masque de réseau est 255.255.255.0. Utilisez le mot-clé network pour indiquer le profil que les programmes JumpStart personnalisés doivent utiliser pour installer le client.
network 192.168.198.0 - wanclient_prof - |
Ce fichier rules transmet des instructions aux programmes JumpStart personnalisés pour utiliser wanclient_prof afin d'installer le logiciel version Solaris actuelle sur le client.
Appelez ce fichier de règle wanclient_rule.
Une fois le profil et le fichier rules créés, exécutez le script check pour vérifier la validité des fichiers.
wanserver# ./check -r wanclient_rule |
Si le script check ne détecte aucune erreur, le script crée le fichier rules.ok.
Enregistrez le fichier rules.ok dans le répertoire /opt/apache/htdocs/flash.
Une fois le fichier rules.ok créé, vous pouvez définir des scripts de début et de fin pour votre installation. Pour plus d'instructions, reportez-vous à la section (Facultatif) Création de scripts de début et de fin.
Si vous ne souhaitez pas définir de scripts de début et de fin, reportez-vous à la section Création des fichiers de configuration pour poursuivre l'installation et initialisation via une connexion WAN.
Pour de plus amples informations sur la création d'un fichier de règles (rules), reportez-vous à la section Création du fichier rules du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Les mots-clés et les valeurs du fichier rules sont décrits en détails à la section Mots-clés et valeurs des règles du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Les scripts de début et de fin sont des scripts en Bourne shell définis par l'utilisateur et spécifiés dans le fichier rules. Un script de début effectue des tâches précédant l'installation du logiciel Solaris sur un système. Le logiciel Solaris étant installé sur votre système, un script de fin exécute des tâches avant que le système ne se réinitialise. Ces scripts ne peuvent être utilisés que si le logiciel Solaris est installé à l'aide de la méthode JumpStart personnalisée.
Les scripts de début permettent de créer des profils dérivés. Les scripts de fin permettent d'effectuer diverses tâches après l'installation, telles que l'ajout de fichiers, packages, patchs ou logiciels.
Les scripts de début et de fin doivent être stockés dans le même répertoire que les fichiers sysidcfg, rules.ok et profil sur le serveur d'installation.
Pour plus d'informations sur la création de scripts de début, reportez-vous à la section Création de scripts de début du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Pour plus d'informations sur la création de scripts de fin, reportez-vous à la section Création de scripts de fin du Solaris 10 10/08 Installation Guide: Custom JumpStart and Advanced Installations.
Pour poursuivre la préparation de l'installation et initialisation via une connexion WAN, reportez-vous à la section Création des fichiers de configuration.
Pour spécifier l'emplacement des données et fichiers nécessaires à une installation et initialisation via connexion WAN, l'initialisation via connexion WAN utilise les fichiers suivants :
fichier de configuration système (system.conf) ;
fichier wanboot.conf.
Cette section décrit la procédure de création et de stockage de ces deux fichiers.
Dans le fichier de configuration système, les programmes d'installation et initialisation via une connexion WAN peuvent être dirigés vers les fichiers suivants :
Fichier sysidcfg
fichier rules.ok ;
profil JumpStart personnalisé.
L'installation et initialisation via connexion WAN suit les pointeurs du fichier de configuration du système pour installer et configurer le client.
Le fichier de configuration système est un fichier de texte en clair et doit être formaté selon le schéma suivant :
setting=value |
Pour diriger les programmes d'installation via connexion WAN vers les fichiers sysidcfg, rules.ok et profil à l'aide d'un fichier de configuration système, procédez comme indiqué ci-dessous.
Pour créer le fichier de configuration système, vous devez au préalable créer les fichiers d'installation pour l'installation et initialisation via une connexion WAN. Reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés pour obtenir plus d'informations.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Créez un fichier texte. Attribuez un nom descriptif au fichier, par exemple, sys-conf.s10–sparc.
Ajoutez les entrées suivantes au fichier de configuration système.
Ces réglages pointent vers le répertoire flash du serveur d'installation contenant le fichier sysidcfg. Assurez-vous que cet URL correspond au chemin d'accès du fichier sysidcfg créé lors de l'étape Création du fichier sysidcfg.
Pour les installations WAN utilisant le protocole HTTPS, définissez un URL HTTPS valide.
Ce paramètre désigne le répertoire Solaris Flash contenant le fichier rules.ok, le fichier de profil et les scripts de début et de fin sur le serveur d'installation. Assurez-vous que cet URL correspond au chemin d'accès des fichiers JumpStart personnalisés créés lors des étapes Création d'un profil et Création d'un fichier rules.
Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.
Enregistrez le fichier dans un répertoire accessible au serveur d'initialisation via connexion WAN.
Pour des besoins d'administration, vous pouvez enregistrer le fichier dans le répertoire client approprié du répertoire /etc/netboot du serveur d'initialisation via une connexion WAN.
Modifiez les autorisations du fichier de configuration système sur 600.
# chmod 600 /path/system-conf-file |
Dans l'exemple suivant, les programmes d'installation et d'initialisation via une connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisé sur le serveur Web https://www.example sur le port 1234.com. Le serveur Web utilise le protocole sécurisé HTTP pour chiffrer les données et fichiers lors de l'installation.
Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire racine du document /opt/apache/htdocs.
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
Dans l'exemple suivant, les programmes d'installation et d'initialisation via une connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisée sur le serveur Web http://www.example.com. Le serveur Web utilise l'HTTP, de sorte que les données et fichiers ne sont pas protégés au cours de l'installation.
Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire document racine /opt/apache/htdocs.
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
Une fois le fichier de configuration système créé, vous devez créer le fichier wanboot.conf. Pour plus d'instructions, reportez-vous à la section Création du fichier wanboot.conf.
Le fichier wanboot.conf est un fichier de configuration de texte en clair utilisé par les programmes d'initialisation via connexion WAN pour une installation du même type. Le programme wanboot-cgi, le système de fichiers d'initialisation et la miniracine de l'initialisation via connexion WAN utilisent toutes les informations contenues dans le fichier wanboot.conf pour installer la machine client.
Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour plus d'informations sur la définition de l'étendue de l'installation et de l'initialisation via une connexion WAN avec la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Si le serveur d'initialisation via connexion WAN exécute la version Solaris actuelle, un fichier d'exemple wanboot.conf se trouve dans /etc/netboot/wanboot.conf.sample . Vous pouvez utiliser cet exemple comme modèle pour votre installation et initialisation via connexion WAN.
Vous devez fournir les informations suivantes dans le fichierwanboot.conf .
Ces informations doivent être spécifiées en dressant la liste des paramètres avec leurs valeurs associées dans le format suivant :
parameter=value |
Pour plus d'informations sur les paramètres et la syntaxe du fichier wanboot.conf, consultez la section Paramètres et syntaxe du fichier wanboot.conf.
Pour créer un fichier wanboot.conf, suivez les étapes ci-dessous.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Créez le fichier texte wanboot.conf.
Vous pouvez créer un nouveau fichier texte appelé wanboot.conf ou utiliser l'exemple de fichier situé dans /etc/netboot/wanboot.conf.sample. Si vous utilisez l'exemple, renommez le fichier wanboot.conf après avoir ajouté les paramètres.
Entrez les paramètres et valeurs wanboot.conf pour votre installation.
Pour obtenir des descriptions détaillées des valeurs et paramètres du fichier wanboot.conf, reportez-vous à la section Paramètres et syntaxe du fichier wanboot.conf.
Enregistrez le fichier wanboot.conf dans le sous-répertoire adéquat de la hiérarchie /etc/netboot.
Pour plus d'informations sur la création de la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Valide le fichier wanboot.conf .
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
Spécifie le chemin d'accès au fichier wanboot.conf du client sur le serveur d'initialisation via connexion WAN
Si le fichier wanboot.conf est structurellement valide, la commande bootconfchk retourne un code de sortie égal à 0.
Si le fichier wanboot.conf est invalide, la commande bootconfchk retourne un code de sortie différent de zéro.
Modifie les permissions sur le fichier wanboot.conf à 600.
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN utilisant l'HTTP sécurisé. Le fichier wanboot.conf indique aussi qu'une clé de chiffrement 3DES est utilisée dans cette installation.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Ce fichier wanboot.conf spécifie la configuration suivante :
Le programme d'initialisation de deuxième niveau s'appelle wanboot.s10_sparc . Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.
L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est https://www.example.com:1234/cgi-bin/wanboot-cgi . La partie https de l'URL indique que cette installation et initialisation via connexion WAN utilise le protocole sécurisé HTTP.
La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Cette miniracine est située dans le répertoire /miniroot du répertoire document racine du serveur d'initialisation via une connexion WAN.
Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation via une connexion WAN sont signés par l'intermédiaire d'une clé de hachage HMAC SHA1.
Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation sont chiffrés à l'aide d'une clé 3DES.
Le serveur est authentifié lors de l'installation.
Le client n'est pas authentifié lors de l'installation.
Aucun nom d'hôte supplémentaire n'est nécessaire pour l'installation via une connexion WAN. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via une connexion WAN.
(Facultatif) Les messages du journal d'initialisation et d'installation sont enregistrés sur le serveur d'initialisation via connexion WAN à l'aide du protocole HTTP sécurisé.
Pour plus d'informations sur la procédure de définition d'un serveur de journalisation pour l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.
Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart files se trouve dans un sous-répertoire de la hiérarchie /etc/netboot. Le fichier de configuration système s'appelle sys-conf.s10–sparc.
L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN moins sécurisée à travers HTTP. Ce fichier wanboot.conf indique aussi que l'installation n'utilise pas de clé de chiffrement ou de hachage.
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Ce fichier wanboot.conf spécifie la configuration suivante :
Le programme d'initialisation de deuxième niveau s'appelle wanboot.s10_sparc . Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.
L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est http://www.example.com/cgi-bin/wanboot-cgi. Cette installation n'utilise pas l'HTTP sécurisé.
La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Cette miniracine est située dans le sous-répertoire /miniroot du répertoire document racine du serveur d'initialisation via connexion WAN.
Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation via une connexion WAN ne sont pas signés à l'aide d'une clé de hachage.
Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation ne sont pas chiffrés.
Le serveur n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.
Le client n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.
Aucun nom d'hôte supplémentaire n'est nécessaire pour effectuer l'installation. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via une connexion WAN.
(Facultatif) Les messages du journal d'initialisation et d'installation sont enregistrés sur le serveur d'initialisation via une connexion WAN.
Pour plus d'informations sur la procédure de définition d'un serveur de journalisation pour l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.
Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart s'appelle sys-conf.s10–sparc. Il se trouve dans le sous-répertoire approprié de la hiérarchie /etc/netboot.
Une fois le fichier wanboot.conf créé, vous pouvez configurer un serveur DHCP, si nécessaire, pour prendre en charge l'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.
Si vous ne souhaitez pas utiliser de serveur DHCP dans l'installation et l'initialisation via une connexion WAN, reportez-vous à la section Vérification de l'alias de périphérique net dans l'OBP client pour poursuivre l'installation et l'initialisation via une connexion WAN.
Pour plus d'informations sur les paramètres et valeurs de wanboot.conf, reportez-vous à la section Paramètres et syntaxe du fichier wanboot.conf et à la page de manuel wanboot.conf(4).
Si un serveur DHCP est installé sur votre réseau, vous pouvez le configurer de manière à ce qu'il fournisse les informations suivantes :
adresse IP du serveur Proxy ;
emplacement du programme wanboot-cgi.
Vous pouvez utiliser les options fournisseur DHCP indiquées ci-dessous pour votre installation et initialisation via une connexion WAN.
Spécifie l'URL du programme wanboot-cgi du serveur d'initialisation via connexion WAN
Pour plus d'informations sur la définition de ces options fournisseur sur un serveur DHCP Solaris, consultez la section Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches.
Pour plus d'informations sur le paramétrage d'un serveur DHCP Solaris, reportez-vous au Chapitre 14, Configuration du service DHCP (tâches) du Guide d’administration système : services IP.
Pour poursuivre l'installation et initialisation via une connexion WAN, reportez-vous au Chapitre13SPARC : Installation et initialisation via une connexion WAN – Tâches.
Ce chapitre décrit la procédure d'installation et d'initialisation via une connexion WAN sur un client SPARC. Pour plus d'informations sur la préparation d'une installation et initialisation via une connexion WAN, reportez-vous au Chapitre12Installation à l'aide de l'Initialisation via connexion WAN - Tâches .
Ce chapitre décrit les tâches suivantes :
Le tableau suivant présente les tâches à effectuer pour installer un client sur un réseau étendu (WAN).
Tableau 13–1 Liste des tâches : installation et initialisation via connexion WAN
Tâche |
Description |
Voir |
---|---|---|
Préparer le réseau à une installation et initialisation via une connexion WAN. |
Installez les serveurs et fichiers nécessaires à une installation et initialisation via connexion WAN. |
Chapitre12Installation à l'aide de l'Initialisation via connexion WAN - Tâches |
Vérifier que l'alias de périphérique net est correctement défini dans l'OBP client. |
Utilisez la commande devalias pour vérifier que l'alias de périphérique net est défini sur l'interface du réseau primaire. |
Vérification de l'alias de périphérique net dans l'OBP client |
Fournir des clés au client |
Fournissez des clés au client en définissant les variables OBP ou en entrant les valeurs des clés au cours de l'installation. Cette tâche s'applique aux configurations d'installation sécurisées. Pour les installations non sécurisées avec vérification de l'intégrité des données, exécutez cette tâche afin de donner la clé de hachage HMAC SHA1 au client. | |
Installer le client sur un réseau étendu. |
Choisissez la méthode appropriée pour installer votre client. |
Installation et initialisation via une connexion WAN non interactive Installation et initialisation via une connexion WAN interactive Installation et initialisation via une connexion WAN avec un serveur DHCP Installation et initialisation via une connexion WAN avec un CD local |
Avant d'installer le système client, préparez le client en exécutant les tâches suivantes :
Pour initialiser le client via connexion WAN à l'aide de la commande boot net, l'alias de périphérique net doit être défini au niveau du périphérique réseau principal du client. Sur la plupart des systèmes, cet alias est déjà correctement défini. Toutefois, s'il n'est pas défini sur le périphérique du réseau que vous voulez utiliser, vous devez modifier l'alias.
Pour de plus amples informations sur la définition des alias de périphériques, reportez-vous à la section "The Device Tree" du manuel OpenBoot 3.x Command Reference Manual.
Pour vérifier l'alias de périphérique net sur le client, procédez comme indiqué ci-dessous.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le client.
Mettez le système au niveau d'exécution 0.
# init 0 |
L'invite ok s'affiche.
À l'invite ok, vérifiez les alias de périphériques définis dans l'OBP.
ok devalias |
La commande devalias génère des informations similaires à l'exemple suivant :
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Si l'alias net est défini sur le périphérique du réseau que vous souhaitez utiliser pendant l'installation, il n'est pas nécessaire de redéfinir l'alias. Consultez la section Installation de clés sur le client pour poursuivre l'installation.
Si l'alias net n'est pas défini sur le périphérique réseau que vous souhaitez utiliser, vous devez redéfinir l'alias. Continuez.
Définissez l'alias de périphérique net.
Choisissez une des commandes suivantes pour définir l'alias de périphérique net.
Si vous voulez définir l'alias de périphérique net pour cette installation uniquement, utilisez la commande devalias.
ok devalias net device-path |
Assigne le périphérique chemin_périphérique à l'alias net.
Pour définir l'alias de périphérique net de façon permanente, utilisez la commande nvalias.
ok nvalias net device-path |
Les commandes suivantes indiquent comment vérifier et redéfinir l'alias de périphérique net.
Vérifiez les alias de périphériques.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Si vous souhaitez utiliser le périphérique réseau /pci@1f,0/pci@1,1/network@5,1, entrez la commande suivante :
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Après avoir vérifié l'alias de périphérique net, reportez-vous à la section appropriée pour continuer l'installation.
Si vous utilisez une clé de hachage et une clé de chiffrement pour l'installation, reportez-vous à la section Installation de clés sur le client.
Si vous effectuez une installation avec un niveau de sécurité inférieur sans aucune clé, reportez-vous à la section Installation du client.
Les installations et initialisations via connexion WAN sécurisées ou les installations non sécurisées avec contrôle de l'intégrité des données nécessitent l'installation de clés sur le client. La clé de hachage et la clé de chiffrement permettent de protéger les données transmises au client. Pour installer ces clés, procédez comme indiqué ci-dessous.
Définissez des variables OBP : vous pouvez assigner les valeurs des clés aux variables des arguments d'initialisation du réseau OBP avant d'initialiser le client. Ces clés pourront ensuite être utilisées pour d'autres installations et initialisations via connexion WAN du client.
Entrez les valeurs de ces clés au cours du processus d'initialisation. Vous pouvez définir les valeurs des clés à l'invite boot> du programme wanboot. Si vous optez pour cette méthode, les clés ne seront utilisées que pour l'installation et initialisation via une connexion WAN en cours.
Vous pouvez également installer les clés dans l'OBP d'un client en cours de fonctionnement. Si vous souhaitez installer des clés sur un client en cours d'exécution, le système doit fonctionner sous le système d'exploitation Solaris 9 12/03, ou une version compatible.
Au moment où vous installez les clés sur le client, veillez à ce que les valeurs des clés ne soient pas transmises via une connexion non sécurisée. Conformez-vous aux procédures de sécurité de votre site pour garantir la confidentialité des valeurs des clés.
Pour plus d'informations sur la procédure d'attribution des valeurs de clé aux variables des arguments d'initialisation du réseau OBP, reportez-vous à la section Installation de clés dans l'OBP client.
Pour plus d'informations sur la procédure d'installation des clés lors du processus d'initialisation, reportez-vous à la section Installation et initialisation via une connexion WAN interactive.
Pour plus d'instructions sur l'installation de clés dans l'OBP d'un client en cours de fonctionnement, reportez-vous à la section Procédure d'installation d'une clé de hachage et d'une clé de chiffrement sur un client en cours de fonctionnement.
Vous pouvez assigner les valeurs de clé aux variables des arguments d'initialisation du réseau OBP avant d'initialiser le client. Ces clés pourront ensuite être utilisées pour d'autres installations et initialisations via connexion WAN du client.
Pour installer des clés dans le client OBP, effectuez les étapes ci-après.
Pour assigner des valeurs aux variables des arguments d'initialisation du réseau OBP, procédez comme indiqué ci-dessous.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Affichez la valeur de chaque clé du client.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Adresse IP du sous-réseau du client.
ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.
La valeur hexadécimale de la clé s'affiche.
Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.
Mettez le système client au niveau d'exécution 0.
# init 0 |
L'invite ok s'affiche.
À l'invite ok, définissez la valeur de la clé de hachage.
ok set-security-key wanboot-hmac-sha1 key-value |
Installe la clé sur le client.
Donne des instructions à l'OBP pour installer une clé de hachage HMAC SHA1.
Spécifie la chaîne de caractères hexadécimaux affichée à l'Étape 2.
La clé de hachage HMAC SHA1 est installée dans l'OBP client.
À l'invite ok du client, installez la clé de chiffrement.
ok set-security-key wanboot-3des key-value |
Installe la clé sur le client.
Donne des instructions à l'OBP pour installer une clé de chiffrement Si vous voulez utiliser une clé de chiffrement AES, définissez cette valeur sur wanboot-aes.
Spécifie la chaîne de caractères hexadécimaux représentant la clé de chiffrement.
La clé de chiffrement 3DES est installée dans l'OBP client.
Une fois les clés installées, vous pouvez procéder à l'installation du client. Reportez-vous à la section Installation du client pour connaître la procédure d'installation du système client.
(Facultatif) Vérifiez que les clés sont définies dans l'OBP client.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Facultatif) Si vous avez besoin de supprimer une clé, entrez la commande suivante :
ok set-security-key key-type |
L'exemple suivant montre comment installer une clé de hachage ou une clé de chiffrement dans l'OBP client.
Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Cet exemple utilise les informations suivantes :
Indique l'adresse IP du sous-réseau du client.
Indique l'ID client.
Indique la valeur de la clé de hachage HMAC SHA1 du client.
Indique la valeur de la clé de chiffrement 3DES du client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez wanboot-3des par wanboot-aes afin d'afficher la valeur de la clé de chiffrement.
Installez les clés sur le système client.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Ces commandes effectuent les tâches suivantes :
Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.
Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez wanboot-3des par wanboot-aes.
Une fois les clés installées sur le client, vous pouvez installer le client sur le réseau WAN. Pour plus d'instructions, reportez-vous à la section Installation du client.
Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à la page de manuel wanbootutil(1M).
Vous pouvez définir des valeurs de clé à l'invite boot> du programme wanboot sur un système en cours d'exécution. Si vous optez pour cette méthode, les clés ne seront utilisées que pour l'installation et initialisation via une connexion WAN en cours.
Si vous souhaitez installer une clé de hachage et une clé de chiffrement dans l'OBP d'un client en cours de fonctionnement, procédez comme indiqué ci-dessous.
Cette procédure suppose que :
Le système client est sous tension.
Le client est accessible via une connexion sécurisée, telle un shell sécurisé (ssh).
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Affichez la valeur des clés du client.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Adresse IP du sous-réseau du client.
ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.
La valeur hexadécimale de la clé s'affiche.
Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.
Connectez-vous en tant que superutilisateur (ou équivalent) sur le client.
Installez les clés nécessaires sur la machine du client en cours de fonctionnement.
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
Spécifie le type de clé que vous souhaitez installer sur le client. Ces types de clé peuvent être 3des, aes ou sha1.
Spécifie la chaîne de caractères hexadécimaux affichée à l'Étape 2.
Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.
Une fois les clés installées, vous êtes prêt pour l'installation du client. Reportez-vous à la section Installation du client pour connaître la procédure d'installation du système client.
L'exemple suivant montre comment installer des clés dans l'OBP d'un client en cours de fonctionnement.
Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Cet exemple utilise les informations suivantes :
Indique l'adresse IP du sous-réseau du client.
Indique l'ID client.
Indique la valeur de la clé de hachage HMAC SHA1 du client.
Indique la valeur de la clé de chiffrement 3DES du client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.
Installe les clés dans l'OBP d'un client en cours de fonctionnement.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Ces commandes effectuent les tâches suivantes :
Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.
Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.
Une fois les clés installées sur le client, vous pouvez installer le client sur le réseau WAN. Pour plus d'instructions, reportez-vous à la section Installation du client.
Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à la page de manuel wanbootutil(1M).
Pour plus d'informations sur la procédure d'installation des clés sur un système en cours de fonctionnement, reportez-vous à la page de manuel ickey(1M).
Après avoir préparé votre réseau à l'installation et l'initialisation via une connexion WAN, vous pouvez choisir une des méthodes présentées ci-dessous pour installer le système.
Tableau 13–2 Méthodes pour installer le client
Méthode |
Description |
Instructions |
---|---|---|
Installation non interactive |
Vous pouvez utiliser cette méthode si vous souhaitez installer des clés sur le client et définir les informations de configuration du client avant d'initialiser ce dernier. |
|
Installation interactive |
Cette méthode d'installation peut être utilisée si vous souhaitez définir les informations de configuration du client au cours du processus d'initialisation. |
Installation et initialisation via une connexion WAN interactive |
Installation avec un serveur DHCP |
Cette méthode d'installation vous permet de configurer le serveur DHCP du réseau pour fournir les informations de configuration du client au cours de l'installation. |
|
Installation à partir d'un CD local |
Si l'OBP client ne prend pas en charge l'initialisation via une connexion WAN, initialisez le client à partir d'une copie locale du CD de Logiciel Solaris. |
|
Cette méthode d'installation peut être utilisée si vous souhaitez installer les clés et définir les informations de configuration du client avant d'installer ce dernier. Vous pouvez ensuite initialiser le client à partir du réseau étendu et procéder à une installation sans surveillance.
Cette procédure présuppose que vous avez installé les clés dans l'OBP client ou que vous effectuez une installation non sécurisée. Pour plus d'informations sur l'installation des clés sur le client avant l'installation, reportez-vous à la section Installation de clés sur le client.
Si le système client est en cours de fonctionnement, mettez le système au niveau d'exécution 0.
# init 0 |
L'invite ok s'affiche.
À l'invite ok du système client, définissez les variables des arguments d'initialisation du réseau dans l'OBP.
ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL |
Les retours à la ligne dans cet exemple de commande ne figurent que pour des raisons de mise en forme. N'entrez pas de retour à la ligne avant d'avoir fini d'entrer la commande.
Initialisez le client.
ok boot net - install |
Donne des instructions au client pour utiliser les variables des arguments d'initialisation du réseau à partir d'un réseau étendu
Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.
Dans l'exemple suivant, les variables des arguments d'initialisation du réseau pour le système client myclient sont définies avant l'initialisation de la machine. Cet exemple présuppose qu'une clé de hachage et une clé de chiffrement sont déjà installées sur le client. Pour plus d'informations sur l'installation des clés avant l'initialisation à partir du réseau étendu, reportez-vous à la section Installation de clés sur le client.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Les variables suivantes sont définies :
L'adresse IP du client est définie sur 192.168.198.136.
L'adresse IP du routeur du client est définie sur 192.168.198.129.
Le masque de sous-réseau du client est défini sur 255.255.255.192.
Le nom d'hôte du client est défini sur seahag.
Le programme wanboot-cgi se trouve sur http://192.168.198.135/cgi-bin/wanboot-cgi.
Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).
Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).
Cette méthode d'installation peut être utilisée si vous souhaitez installer des clés et définir les informations de configuration du client sur la ligne de commande durant l'installation.
Cette procédure présuppose que vous utilisez l'HTTPS dans votre installation via connexion WAN. Si vous faites une installation non sécurisée sans clés, n'affichez pas ou n'installez pas les clés du client.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Affichez la valeur de chaque clé du client.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Adresse IP du sous-réseau du client que vous voulez installer.
ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.
La valeur hexadécimale de la clé s'affiche.
Répétez les étapes précédentes pour chaque type de clé de client que vous installez.
Si le système client est en cours de fonctionnement, mettez le client au niveau d'exécution 0.
À l'invite ok du système client, définissez les variables d'initialisation du réseau dans l'OBP.
ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
Les retours à la ligne dans cet exemple de commande ne figurent que pour des raisons de mise en forme. N'entrez pas de retour à la ligne avant d'avoir fini d'entrer la commande.
Donne des instructions à l'OBP pour la définition des arguments d'initialisation indiqués ci-après.
Spécifie l'adresse IP du client.
Spécifie l'adresse IP du routeur du réseau.
Spécifie la valeur du masque du sous-réseau.
Spécifie le nom d'hôte du client.
Spécifie l'URL du programme wanboot-cgi sur le serveur Web.
La valeur de l'URL pour la variable bootserver ne doit pas correspondre à un URL HTTPS. L'URL doit commencer par http://.
À l'invite ok du client, initialisez le système.
ok boot net -o prompt - install |
Donne des instructions au client pour l'initialisation et l'installation à partir du réseau. Le programme wanboot demande à l'utilisateur d'entrer les informations de configuration du client à l'invite boot>.
L'invite boot> s'affiche.
Installez la clé de chiffrement.
boot> 3des=key-value |
Spécifie la chaîne de caractères hexadécimaux de la clé 3DES affichée à l'Étape 2.
Si vous utilisez une clé de chiffrement AES, utilisez pour cette commande le format suivant :
boot> aes=key-value |
Installation de la clé de hachage.
boot> sha1=key-value |
Spécifie la valeur de la clé de hachage affichée à l'Étape 2.
Entrez la commande suivante pour continuer le processus d'initialisation :
boot> go |
Le client s'installe sur le réseau étendu.
Entrez les informations de configuration du client sur la ligne de commande si vous y êtes invité.
Si les programmes d'initialisation via une connexion WAN ne trouvent pas toutes les informations d'installation requises, le programme wanboot vous invite à fournir les informations manquantes. Entrez les informations manquantes à l'invite.
Dans l'exemple suivant, le programme wanboot vous demande de définir les valeurs des clés du système client au cours de l'installation.
Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Cet exemple utilise les informations suivantes :
Indique l'adresse IP du sous-réseau du client.
Indique l'ID client.
Indique la valeur de la clé de hachage HMAC SHA1 du client.
Indique la valeur de la clé de chiffrement 3DES du client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.
Définissez les variables d'initialisation du réseau dans l'OBP client.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
Les variables suivantes sont définies :
L'adresse IP du client est définie sur 192.168.198.136.
L'adresse IP du routeur du client est définie sur 192.168.198.129.
Le masque de sous-réseau du client est défini sur 255.255.255.192.
Le nom d'hôte du client est défini sur myclient
Le programme wanboot-cgi se trouve sur http://192.168.198.135/cgi-bin/wanboot-cgi.
Initialisez et installez le client.
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
Ces commandes effectuent les tâches suivantes :
Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.
Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.
Démarrage de l'installation.
Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à wanbootutil(1M).
Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).
Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).
Si vous avez configuré un serveur DHCP pour la prise en charge des options d'initialisation via connexion WAN, vous pouvez utiliser ce serveur pour fournir au client les informations de configuration lors de l'installation. Pour plus d'informations sur la configuration d'un serveur DHCP pour prendre en charge l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.
Cette procédure suppose que :
Le système client est en cours de fonctionnement.
Vous avez installé des clés sur le client ou vous effectuez une installation non sécurisée.
Pour plus d'informations sur l'installation des clés sur le client avant l'installation, reportez-vous à la section Installation de clés sur le client.
Votre serveur DHCP est configuré pour la prise en charge des options d'initialisation via une connexion WAN SbootURI et SHTTPproxy.
Ces options permettent au serveur DHCP de fournir les informations de configuration nécessaires à l'initialisation via connexion WAN.
Pour plus d'informations sur la définition des options d'installation sur le serveur DHCP, reportez-vous à la section Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches.
Si le système client est en cours de fonctionnement, mettez le système au niveau d'exécution 0.
# init 0 |
L'invite ok s'affiche.
À l'invite ok du système client, définissez les variables des arguments d'initialisation du réseau dans l'OBP.
ok setenv network-boot-arguments dhcp,hostname=client-name |
Donne des instructions à l'OBP pour la définition des arguments d'initialisation indiqués ci-après.
Donne des instructions à l'OBP pour l'utilisation du serveur DHCP pour configurer le client.
Spécifie le nom d'hôte que vous souhaitez assigner au client.
Initialisez le client à partir du réseau.
ok boot net - install |
Donne des instructions au client pour utiliser les variables des arguments d'initialisation du réseau à partir d'un réseau étendu
Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.
Dans l'exemple suivant, le serveur DHCP sur le réseau fournit des informations de configuration client. Dans cet exemple, le nom d'hôte myclient est requis pour le client.
ok setenv network-boot-arguments dhcp, hostname=myclient ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).
Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).
Pour plus d'informations sur la procédure de configuration d'un serveur DHCP, reportez-vous à la section (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.
Si l'OBP de votre client ne prend pas en charge l'initialisation via une connexion WAN, vous pouvez effectuer l'installation à partir du CD Logiciel Solaris & - 1 inséré dans le lecteur de CD du client. Lorsque vous utilisez un CD local, le client recherche le programme wanboot sur le média local, au lieu de le rechercher sur le serveur d'initialisation via connexion WAN.
Cette procédure présuppose que vous utilisez l'HTTPS dans votre installation via connexion WAN. Si vous effectuez une installation non sécurisée, n'affichez pas ou n'installez pas les clés du client.
Pour effectuer une installation et initialisation via une connexion WAN à partir d'un CD local, procédez comme indiqué ci-dessous.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Affichez la valeur de chaque clé du client.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Adresse IP du réseau du client que vous installez.
ID du client que vous installez. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Type de clé que vous installez sur le client. Ces types peuvent être 3des, aes ou sha1.
La valeur hexadécimale de la clé s'affiche.
Répétez les étapes précédentes pour chaque type de clé de client que vous installez.
Sur le système client, insérez le Logiciel Solaris & - 1 CD dans l'unité de CD-ROM.
Mettez le système client sous tension.
Initialisez le client à partir du CD.
ok boot cdrom -o prompt -F wanboot - install |
Donne des instructions à l'OBP pour initialiser à partir d'un CD local.
Donne des instructions au programme wanboot pour demander à l'utilisateur d'entrer les informations de configuration du client.
Donne des instructions à l'OBP pour le chargement du programme wanboot à partir du CD.
Donne des instructions au client pour effectuer une installation et initialisation via connexion WAN.
L'OBP client charge le programme wanboot à partir du Logiciel Solaris & - 1. Le programme wanboot initialise le système et l'invite boot> s'affiche.
Entrez la valeur de la clé de chiffrement.
boot> 3des=key-value |
Spécifie la chaîne de caractères hexadécimaux de la clé 3DES affichée à l'Étape 2.
Si vous utilisez une clé de chiffrement AES, utilisez pour cette commande le format suivant :
boot> aes=key-value |
Entrez la valeur de la clé de hachage.
boot> sha1=key-value |
Spécifie la chaîne de caractères hexadécimaux représentant la valeur de la clé de hachage affichée à l'Étape 2.
Définissez les variables de l'interface du réseau.
boot> variable=value[,variable=value*] |
Entrez les paires de variable et valeur ci-dessous à l'invite de boot>.
Spécifie l'adresse IP du client.
Spécifie l'adresse IP du routeur du réseau.
Spécifie la valeur du masque du sous-réseau.
Spécifie le nom d'hôte du client.
Spécifie l'adresse IP et le numéro de port du serveur proxy du réseau.
Spécifie l'URL du programme wanboot-cgi sur le serveur Web.
La valeur de l'URL pour la variable bootserver ne doit pas correspondre à un URL HTTPS. L'URL doit commencer par http://.
Vous pouvez entrer ces variables de la manière indiquée ci-dessous.
Entrez une paire de variable et de valeur à l'invite de boot>, puis appuyez sur la touche Entrée.
boot> host-ip=client-IP boot> subnet-mask=mask-value |
Entrez toutes les paires de variable et de valeur sur une ligne de l'invite de boot> puis appuyez sur la touche Entrée. Entrez des virgules pour séparer chaque couple de variable et valeur.
boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
Entrez la commande suivante pour continuer le processus d'initialisation :
boot> go |
Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.
Dans l'exemple suivant, le programme wanboot installé sur un CD local vous demande de définir les variables de l'interface du réseau pour le client au cours de l'installation.
Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Cet exemple utilise les informations suivantes :
Indique l'adresse IP du sous-réseau du client.
Indique l'ID client.
Indique la valeur de la clé de hachage HMAC SHA1 du client.
Indique la valeur de la clé de chiffrement 3DES du client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.
Initialisez et installez le client.
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=myclient boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
Ces commandes effectuent les tâches suivantes :
entrée de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client ;
entrée de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client ;
définition de l'adresse IP du client sur 192.168.198.124 ;
définition du masque de sous-réseau du client sur 255.255.255.192 ;
définition de l'adresse IP du routeur du client sur 192.168.198.129 ;
définition du nom d'hôte du client sur myclient ;
définition de l'ID du client sur 010003BA152A42 ;
définition de l'emplacement du programme wanboot-cgi sur http://192.168.198.135/cgi-bin/wanboot-cgi/.
Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à wanbootutil(1M).
Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).
Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).
Vous trouverez dans ce chapitre des exemples de paramétrage et d'installation de systèmes clients via une connexion WAN. Ces exemples décrivent la procédure d'installation et initialisation via connexion WAN à l'aide d'une connexion HTTPS.
Création de la miniracine de l'initialisation via connexion WAN
Vérification de l'OBP client pour la prise en charge de l'initialisation via une connexion WAN
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN
Copie du programme wanboot-cgi vers le serveur d'initialisation via connexion WAN
Configuration du serveur d'initialisation via connexion WAN en vue d'utiliser l'HTTPS
(Facultatif) Utilisation d'une clé privée et d'un certificat pour l'authentification client
La Figure 14–1 illustre la configuration du site pour cet exemple.
Cet exemple de site présente les caractéristiques suivantes :
Le serveur wanserver-1 doit être configuré en tant que serveur d'initialisation via connexion WAN et serveur d'installation.
L'adresse IP de wanserver-1 est 192.168.198.2.
Le nom de domaine de wanserver-1 est www.example.com.
wanserver-1 exécute la version Solaris actuelle.
wanserver-1 utilise le serveur Web Apache. Le logiciel Apache de wanserver-1 est configuré pour prendre en charge le protocole HTTPS.
Le client à installer est nommé wanclient-1.
wanclient-1 est un système UltraSPARCII.
L'ID client pour wanclient-1 est 010003BA152A42.
L'adresse IP de wanclient-1 est 192.168.198.210.
L'adresse IP du sous-réseau du client est 192.168.198.0.
Le système client wanclient-1 dispose d'un accès à Internet, mais n'est pas directement connecté au réseau incluant wanserver-1.
wanclient-1 est un nouveau système qui doit être installé avec le logiciel version Solaris actuelle.
Pour stocker les fichiers et les données d'installation, définissez les répertoires suivants dans le répertoire racine du document (/opt/apache/htdocs) de wanserver-1.
Répertoire Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Répertoire miniracine de l'initialisation via une connexion WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Répertoire du programme wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Utilisez la commande setup_install_server(1M) avec l'option -w pour copier la miniracine de l'initialisation via une connexion WAN et l'image du logiciel Solaris dans le répertoire /export/install/Solaris_10 de wanserver-1.
Insérez le support Logiciel Solaris dans le lecteur relié à wanserver-1. Entrez les commandes suivantes :
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Déplacez la miniracine de l'initialisation via une connexion WAN vers le répertoire document racine (/opt/apache/htdocs/) du serveur d'initialisation via une connexion WAN.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Déterminez si l'OBP client prend en charge l'initialisation via connexion WAN en entrant la commande suivante sur le système client :
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Dans l'exemple précédent, le résultat network-boot-arguments: data not available indique que l'OBP client prend en charge l'initialisation via connexion WAN.
Pour installer le programme wanboot sur le serveur d'initialisation via une connexion WAN, copiez le programme à partir du média logiciel Logiciel Solaris vers le répertoire document racine du serveur d'initialisation via une connexion WAN.
Insérez le DVD Solaris ou le Logiciel Solaris & - 1 dans le lecteur de support relié à wanserver-1 et entrez les commandes suivantes :
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Créez les sous-répertoires wanclient-1 du répertoire /etc/netboot sur le serveur d'initialisation via une connexion WAN. Lors de l'installation, les programmes d'installation et initialisation via connexion WAN extraient des informations de configuration et de sécurité à partir de ce répertoire.
wanclient-1 se situe sur le sous-réseau 192.168.198.0 et son ID client est 010003BA152A42. Pour créer le sous-répertoire approprié de /etc/netboot pour wanclient-1, effectuez les tâches suivantes :
Créez le répertoire /etc/netboot.
Modifiez les autorisations du répertoire /etc/netboot sur 700.
Modifiez la propriété du répertoire /etc/netboot en l'attribuant au propriétaire du processus du serveur Web.
Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.
Créez un sous-répertoire de /etc/netboot nommé comme le sous-réseau (192.168.198.0).
Créez un sous-répertoire du répertoire du sous-réseau nommé comme l'ID client.
Modifiez les autorisations du sous-répertoire /etc/netboot sur 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Sur les systèmes qui exécutent la version Solaris actuelle, le programme wanboot-cgi se trouve dans le répertoire /usr/lib/inet/wanboot/. Pour permettre au serveur d'initialisation via une connexion WAN de transmettre les données d'installation, copiez le programme wanboot-cgi vers le répertoire cgi-bin du répertoire du logiciel du serveur Web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Par défaut, tous les messages de journalisation via une connexion WAN sont affichés sur le système client. Ce paramètre par défaut vous permet de déboguer rapidement les problèmes d'installation.
Pour visualiser les messages d'initialisation et d'installation sur le serveur d'initialisation via une connexion WAN, copiez le script bootlog-cgi dans le répertoire cgi-bin sur wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Pour utiliser l'HTTPS lors de votre installation et initialisation via une connexion WAN, vous devez activer le support SSL du logiciel du serveur Web. Vous devez également installer un certificat numérique sur le serveur d'initialisation via connexion WAN. Dans cet exemple, on suppose que le serveur Web Apache sur wanserver-1 est configuré pour utiliser le protocole SSL. Il suppose également qu'un certificat numérique et une autorité de certification établissant l'identité de wanserver-1 sont déjà installés sur wanserver-1.
Vous trouverez des exemples de configuration du logiciel de votre serveur Web pour l'utilisation du SSL dans sa documentation.
En demandant au serveur de s'authentifier auprès du client, vous protégez les données transmises au client à partir du serveur via HTTPS. Pour permettre l'authentification serveur, vous devez fournir un certificat de confiance au client. Ce certificat permet au client de vérifier l'identité du serveur lors de l'installation.
Pour fournir ce certificat de confiance au client, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Divisez ensuite le certificat pour extraire un certificat de confiance. Ensuite, ajoutez le certificat de confiance au fichier truststore du client qui figure dans la hiérarchie /etc/netboot.
Dans cet exemple, vous utilisez le rôle d'utilisateur du serveur Web nobody. Vous divisez ensuite le certificat du serveur PKCS#12 appelé cert.p12 et insérez le certificat de confiance dans le répertoire /etc/netboot pour wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Pour protéger davantage vos données au cours de l'installation, vous pouvez aussi demander au client wanclient-1 de s'authentifier auprès du serveur wanserver-1. Pour permettre l'authentification client lors de votre installation et initialisation via connexion WAN, insérez le certificat et la clé privée client dans le sous-répertoire client de la hiérarchie /etc/netboot.
Pour fournir une clé privée et un certificat au client, exécutez les tâches suivantes :
Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.
Diviser le fichier PKCS#12 afin d'obtenir une clé privée et un certificat client.
Insérez le certificat dans le fichier certstore du client.
Insérez la clé privée dans le fichier keystore du client.
Dans cet exemple, vous utilisez le rôle d'utilisateur du serveur Web nobody. Vous divisez ensuite le certificat du serveur PKCS#12 nommé cert.p12. Vous insérez le certificat dans la hiérarchie /etc/netboot pour wanclient-1. Vous insérez ensuite la clé privée que vous avez appelée wanclient.key dans le fichier keystore du client.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Pour protéger les données transmises entre le serveur et le client, vous créez une clé de hachage et une clé de chiffrement. Le serveur utilise la clé de hachage pour protéger l'intégrité du programme wanboot et la clé de chiffrement pour chiffrer les données de configuration et d'installation. Le client utilise la clé de hachage pour vérifier l'intégrité du programme wanboot téléchargé et la clé de chiffrement pour déchiffrer les données lors de l'installation.
Endossez d'abord le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.
wanserver-1# su nobody Password: |
Utilisez ensuite la commande wanbootutil keygen pour créer une clé HMAC SHA1 maîtresse pour wanserver-1.
wanserver-1# wanbootutil keygen -m |
Puis créez une clé de hachage et une clé de chiffrement pour wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
La commande précédente crée une clé de hachage HMAC SHA1 et une clé de chiffrement 3DES pour wanclient-1. 192.168.198.0 indique le sous-réseau de wanclient-1, et 010003BA152A42 l'ID client de wanclient-1.
Dans cet exemple, vous créez votre archive Solaris Flash en clonant le système maître wanserver-1. Le nom de l'archive est sol_10_sparc, et cette archive est copiée à partir du système maître. L'archive est une copie exacte du système maître. L'archive est stockée dans sol_10_sparc.flar. Vous sauvegardez l'archive dans le sous-répertoire flash/archives du répertoire document racine sur le serveur d'initialisation via connexion WAN.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Pour préconfigurer le système wanclient-1, indiquez les mots-clés et les valeurs dans le fichier sysidcfg. Sauvegardez ce fichier dans le sous-répertoire approprié du répertoire document racine sur wanserver-1.
Un exemple de fichier sysidcfg pour wanclient-1 est présenté ci-après. Le nom d'hôte, l'adresse IP et le masque de réseau de ces systèmes ont été préconfigurés dans le service d'attribution de noms utilisé. Ce fichier est situé dans le répertoire /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Pour le système wanclient-1, créez un profil appelé wanclient_1_prof. Le fichier wanclient_1_prof comporte les entrées ci-dessous définissant le logiciel version Solaris actuelle à installer sur le système wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La liste suivante décrit quelques mots-clés et quelques valeurs issus de cet exemple.
Le profil installe une archive Solaris Flash sur le système clone. Tous les fichiers sont écrasés, comme dans une installation initiale.
L'archive compressée Solaris Flash est extraite de wanserver-1.
Les tranches des systèmes de fichiers sont déterminées par le mot-clé filesys, associé à la valeur explicit. La taille de la racine (/) est basée sur la taille de l'archive Solaris Flash. La taille de swap est réglée en fonction des besoins. Ce système de fichiers est installé sur c0t1d0s1. /export/home est basé sur l'espace de disque restant. /export/home est installé sur c0t1d0s7.
Les programmes JumpStart personnalisés utilisent le fichier rules pour sélectionner le profil d'installation approprié pour le système wanclient-1. Créez un fichier texte appelé rules. Ajoutez ensuite à ce fichier les mots-clés et les valeurs.
L'adresse IP du système wanclient-1 est 192.168.198.210, et le masque de réseau est 255.255.255.0. Utilisez le mot-clé network pour indiquer le profil que les programmes JumpStart personnalisés doivent utiliser pour installer wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Ce fichier rules transmet des instructions aux programmes JumpStart personnalisés pour utiliser wanclient_1_prof afin d'installer le logiciel &release sur wanclient-1.
Appelez ce fichier de règle wanclient_rule.
Une fois le profil et le fichier rules créés, exécutez le script check pour vérifier la validité des fichiers.
wanserver-1# ./check -r wanclient_rule |
Si le script check ne détecte aucune erreur, le script crée le fichier rules.ok.
Enregistrez le fichier rules.ok dans le répertoire /opt/apache/htdocs/flash.
Créez un fichier de configuration système répertoriant les emplacements du fichier sysidcfg et des fichiers JumpStart personnalisés sur le serveur d'installation. Sauvegardez ce fichier dans un répertoire accessible au serveur d'initialisation via une connexion WAN.
Dans l'exemple suivant, le programme wanboot-cgi cherche le fichier sysidcfg ainsi que les fichiers JumpStart personnalisés dans le répertoire document racine du serveur d'initialisation via connexion WAN. Le nom du domaine du serveur d'initialisation via connexion WAN est https://www.example.com. Ce serveur est configuré pour utiliser le protocole sécurisé HTTP, par conséquent les données et fichiers sont protégés lors de l'installation.
Dans cet exemple, le fichier de configuration système est appelé sys-conf.s10–sparc et il est sauvegardé au niveau de la hiérarchie /etc/netboot du serveur d'installation et initialisation via une connexion WAN. Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire racine du document.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
L'installation et initialisation via connexion WAN utilise les informations de configuration incluses dans le fichier wanboot.conf pour installer la machine client. Créez le fichier wanboot.conf dans un éditeur de texte. Sauvegardez le fichier dans le sous-répertoire client adéquat de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
Le fichier wanboot.conf suivant pour wanclient-1 comporte des informations de configuration pour une installation via une connexion WAN utilisant le HTTP sécurisé. Ce fichier invite également l'initialisation via connexion WAN à utiliser une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES afin de protéger les données.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Ce fichier wanboot.conf spécifie la configuration suivante :
Le programme wanboot s'appelle wanboot.s10_sparc. Il se trouve dans le répertoire wanboot du répertoire document racine sur wanserver-1.
Le programme wanboot-cgi de wanserver-1 se trouve à l'adresse suivante https://www.example.com/cgi-bin/wanboot-cgi . La partie https de l'URL indique que cette installation et initialisation via connexion WAN utilise le protocole sécurisé HTTP.
La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Elle se situe dans le répertoire miniroot du répertoire racine du document sur wanserver-1.
Le programme wanboot et le système de fichiers d'installation et initialisation via connexion WAN sont signés par l'utilisation d'une clé de hachage HMAC SHA1.
Le programme wanboot et le système de fichiers d'installation et initialisation via connexion WAN sont chiffrés à l'aide d'une clé 3DES.
Le serveur est authentifié lors de l'installation.
Le client n'est pas authentifié lors de l'installation.
Si vous avez effectué les tâches de la section (Facultatif) Utilisation d'une clé privée et d'un certificat pour l'authentification client, affectez à ce paramètre la valeur client_authentication=yes
Aucun nom d'hôte supplémentaire n'est nécessaire pour l'installation via une connexion WAN. Tous les noms d'hôtes requis par le programme wanboot-cgi sont indiqués dans le fichier wanboot.conf et le certificat client.
Des messages du journal d'initialisation et d'installation s'affichent sur la console du système. Si vous avez configuré le serveur de journalisation à l'étape (Facultatif) Configuration du serveur d'initialisation via une connexion WAN comme serveur de journalisation., et que vous vouliez que les messages provenant de la connexion WAN apparaissent également sur le serveur d'installation et d'initialisation, définissez le paramètre comme suit : boot_logger=https://www.example.com/cgi-bin/bootlog-cgi .
Le fichier de configuration système indiquant les emplacements des fichiers sysidcfg et JumpStart se trouve dans le fichier sys-conf.s10–sparc au niveau de la hiérarchie /etc/netboot sur wanserver-1.
Dans cet exemple, vous sauvegardez le fichier wanboot.conf dans le répertoire /etc/netboot/192.168.198.0/010003BA152A42 sur wanserver-1.
Pour initialiser le client via connexion WAN à l'aide de la commande boot net, l'alias de périphérique net doit être défini au niveau du périphérique réseau principal du client. À l'invite ok du client, entrez la commande devalias afin de vérifier que l'alias net est défini au niveau du périphérique réseau principal /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Dans cet exemple de résultat, le périphérique réseau principal /pci@1f,0/pci@1,1/network@c,1 est affecté à l'alias net. Vous n'avez pas besoin de réinitialiser l'alias.
Dans la partie Création des clés pour le serveur et le client, vous avez créé une clé de hachage et une clé de chiffrement pour protéger vos données lors de l'installation. Afin de permettre au client de déchiffrer les données transmises à partir de wanserver-1 lors de l'installation, installez ces clés sur wanclient-1.
Affichez les valeurs des clés sur wanserver-1.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Cet exemple utilise les informations suivantes :
Indique l'adresse IP du sous-réseau du client.
Indique l'ID client.
Indique la valeur de la clé de hachage HMAC SHA1 du client.
Indique la valeur de la clé de chiffrement 3DES du client.
Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.
À l'invite ok sur wanclient-1, installez les clés.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Ces commandes effectuent les tâches suivantes :
installation de la clé de hachage HMAC SHA1 avec une valeur de b482aaab82cb8d5631e16d51478c90079cc1d463 sur le wanclient-1 ;
installation de la clé de chiffrement 3DES avec une valeur de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le wanclient-1.
Vous pouvez effectuer une installation sans surveillance en définissant les variables de l'argument d'initialisation du réseau pour wanclient-1 à l'invite ok, puis en initialisant le client.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Les variables suivantes sont définies :
L'adresse IP client est définie sur 192.168.198.210.
L'adresse IP du routeur du client est définie sur 192.168.198.1.
Le masque de sous-réseau du client est défini sur 255.255.255.0.
Le nom d'hôte du client est défini sur wanclient-1.
Le programme wanboot-cgi se trouve sur http://192.168.198.2/cgi-bin/wanboot-cgi.
Le client s'installe sur le réseau étendu. Si le programme wanboot ne trouve pas toutes les informations nécessaires à l'installation, vous serez probablement invité à fournir les informations manquantes sur la ligne de commande.
Ce chapitre décrit brièvement les commandes et fichiers à utiliser dans le cadre d'une installation via connexion WAN.
Les tableaux suivants présentent les commandes à utiliser pour effectuer ce type d'installation.
Tableau 15–1 Préparation des fichiers d'installation et initialisation via connexion WAN et de configurationTableau 15–2 Préparation des fichiers de sécurité de l'initialisation via connexion WAN
Le tableau ci-dessous répertorie les commandes OBP que vous saisissez à l'invite ok du client pour effectuer une installation et initialisation via une connexion WAN.
Tableau 15–3 Commandes OBP pour une installation et initialisation via connexion WAN
Le fichier de configuration système vous permet de diriger les programmes d'installation et initialisation via une connexion WAN vers les fichiers suivants :
sysidcfg ;
rules.ok ;
profil JumpStart personnalisé.
Le fichier de configuration système est un fichier de texte en clair et doit être formaté selon le schéma suivant :
setting=value
Le fichier system.conf doit contenir les paramètres suivants :
Ce paramètre pointe vers le répertoire du serveur qui contient le fichier sysidcfg. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.
Ce réglage pointe vers le répertoire JumpStart personnalisé contenant les fichiers rules.ok et profil. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.
Vous pouvez stocker le fichier system.conf dans n'importe quel répertoire accessible au serveur d'initialisation via connexion WAN.
Le fichier wanboot.conf est un fichier de configuration de texte en clair que les programmes d'installation et initialisation via connexion WAN utilisent pour effectuer une installation via connexion WAN. Les fichiers et programmes suivants utilisent les informations contenues dans ce fichier pour installer la machine client :
programme wanboot-cgi ;
système de fichiers d'initialisation via connexion WAN ;
miniracine de l'initialisation via connexion WAN ;
Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour plus d'informations sur la définition de l'étendue de l'installation et initialisation via une connexion WAN au niveau de la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.
Pour spécifier des informations dans le fichier wanboot.conf, vous devez dresser une liste des paramètres avec leur valeur associée au format suivant :
parameter=value
Les entrées de paramètres ne peuvent pas s'étendre sur plusieurs lignes. Vous pouvez inclure des commentaires dans le fichier en les faisant précéder du caractère #.
Pour de plus amples informations sur le fichier wanboot.conf, reportez-vous à la page de manuel wanboot.conf(4).
Vous devez définir les paramètres ci-après dans le fichier wanboot.conf.
Ce paramètre spécifie le chemin d'accès au programme wanboot. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.
boot_file=/wanboot/wanboot.s10_sparc
Ce paramètre spécifie l'URL du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.
Utilisez un URL HTTP si vous réalisez une installation et initialisation via connexion WAN sans authentification client ou serveur.
root_server=http://www.example.com/cgi-bin/wanboot-cgi
Utilisez un URL HTTPS si vous procédez à une installation et initialisation via une connexion WAN par le biais d'une authentification serveur, ou d'une authentification serveur et client.
root_server=https://www.example.com/cgi-bin/wanboot-cgi
Ce paramètre spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN sur le serveur correspondant. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.
root_file=/miniroot/miniroot.s10_sparc
Ce paramètre spécifie le type de clé de hachage à utiliser pour vérifier l'intégrité des fichiers et des données transmis.
Pour une installation et initialisation via connexion WAN utilisant une clé de hachage pour protéger le programme wanboot, définissez cette valeur sur sha1.
signature_type=sha1
Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de hachage et laissez cette valeur vide.
signature_type=
Ce paramètre spécifie le type de chiffrement à utiliser pour chiffrer le programme wanboot et le système de fichiers d'initialisation via connexion WAN.
Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez cette valeur sur 3des ou aes pour qu'elle corresponde au format de clé que vous utilisez. Vous devez aussi définir la valeur du mot-clé signature_type sur sha1.
encryption_type=3des
ou
encryption_type=aes
Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de chiffrement et laissez cette valeur vide.
encryption_type=
Ce paramètre indique si le serveur doit être authentifié au cours de l'installation et initialisation via connexion WAN.
Pour une installation et initialisation via une connexion WAN avec authentification serveur ou authentification serveur et client, définissez cette valeur sur yes. Vous devez définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.
server_authentication=yes
Pour une installation et initialisation via une connexion WAN non sécurisée sans authentification serveur ou authentification serveur et client, définissez cette valeur à no. Vous pouvez aussi laisser la valeur vide.
server_authentication=no
Ce paramètre indique si le client doit être authentifié au cours de l'installation et initialisation via connexion WAN.
Pour une installation et initialisation via connexion WAN avec authentification serveur et client, définissez cette valeur sur yes. Vous devez également définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.
client_authentication=yes
Pour une installation et initialisation via une connexion WAN sans authentification client, définissez cette valeur sur no. Vous pouvez aussi laisser la valeur vide.
client_authentication=no
Ce paramètre spécifie les hôtes supplémentaires devant être résolus pour le programme wanboot-cgi au cours de l'installation.
Définissez cette valeur sur des noms d'hôtes de systèmes n'ayant pas déjà été spécifiés dans le fichier wanboot.conf ou dans un certificat client.
Ce paramètre spécifie l'URL du script bootlog-cgi sur le serveur de journalisation.
Pour enregistrer les messages d'initialisation ou d'installation sur un serveur de journalisation dédié, définissez la valeur de l'URL du script bootlog-cgi sur le serveur de journalisation.
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
Pour afficher les messages d'installation et d'initialisation sur la console du client, laissez cette valeur vide.
boot_logger=
Ce paramètre spécifie le chemin d'accès au fichier de configuration système incluant l'emplacement de sysidcfg et des fichiers JumpStart personnalisés.
La valeur du chemin d'accès aux fichiers sysidcfg et JumpStart personnalisés doit être définie sur le serveur Web.
system_conf=sys.conf