WAN ブートのしくみ (概要)

WAN ブートは、サーバー、構成ファイル、CGI (Common Gateway Interface) プログラム、およびインストールファイルを組み合わせて使用することによって、SPARC ベースのリモートクライアントに対してインストールを行います。ここでは、WAN ブートインストールで発生するイベントの通常の順序について説明します。

WAN ブートインストールでのイベントの順序

図 10–1 は、WAN ブートインストールで発生するイベントの基本的な順序を示しています。この図で、SPARC ベースのクライアントは、構成データとインストールファイルを、Web サーバーとインストールサーバーから WAN 経由で取得します。

図 10–1 WAN ブートインストールでのイベントの順序

1. 次のいずれかの方法で、クライアントをブートします。

   • OpenBoot PROM (OBP) のネットワークインタフェース変数を設定することによって、ネットワークからブートします。

   • DHCP オプションを使ってネットワークからブートします。

   • ローカル CD-ROM からブートします。

2. クライアントの OBP は、次のどちらかから構成情報を取得します。

   • ユーザーがコマンド行に入力したブート引数の値から

   • ネットワークで DHCP が使用されている場合は、DHCP サーバーから

3. クライアントの OBP は、WAN ブートの二次レベルのブートプログラム (wanboot) を要求します。

   クライアントの OBP は、wanboot プログラムを次のどちらかからダウンロードします。

   • WAN ブートサーバーと呼ばれる特別な Web サーバーから、ハイパーテキストトランスファープロトコル (HTTP) を使って

   • ローカル CD-ROM から (上記の図には示されていない)

4. wanboot プログラムは、WAN ブートサーバーに対し、クライアント構成情報を要求します。

5. wanboot プログラムは、wanboot-cgi プログラムによって WAN ブートサーバーから転送される構成ファイルをダウンロードします。構成ファイルは、WAN ブートファイルシステムとしてクライアントに転送されます。

6. wanboot プログラムは、WAN ブートサーバーに対し、WAN ブートミニルートのダウンロードを要求します。

7. wanboot プログラムは、HTTP または HTTPS を使って、WAN ブートサーバーから WAN ブートミニルートをダウンロードします。

8. wanboot プログラムは、WAN ブートミニルートから UNIX カーネルを読み込み、実行します。

9. UNIX カーネルは、Solaris インストールプログラムで使用できるように、WAN ブートファイルシステムを見つけてマウントします。

10. インストールプログラムは、インストールサーバーに対し、Solaris フラッシュアーカイブとカスタム JumpStart ファイルのダウンロードを要求します。

    インストールプログラムは、HTTP または HTTPS 接続を介して、アーカイブとカスタム JumpStart ファイルをダウンロードします。

11. インストールプログラムは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。

WAN ブートインストール時のデータの保護

WAN ブートインストールでは、ハッシュキー、暗号化鍵、およびデジタル証明書を使って、インストール中にシステムデータを保護できます。ここでは、WAN ブートインストールでサポートされている各種のデータ保護方法について簡単に説明します。

ハッシュキーによるデータ完全性のチェック

WAN ブートサーバーからクライアントに転送するデータを保護するために、HMAC (Hashed Message Authentication Code) キーを生成できます。このハッシュキーを、WAN ブートサーバーとクライアントの両方にインストールします。WAN ブートサーバーはこのキーを使って、クライアントに転送するデータに署名します。クライアントはこのキーを使って、WAN ブートサーバーから転送されるデータの完全性を確認します。クライアントにハッシュキーをインストールすると、クライアントは以降の WAN ブートインストールにこのキーを使用します。

ハッシュキーの使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

暗号化鍵によるデータの暗号化

WAN ブートインストールでは、WAN ブートサーバーからクライアントに転送するデータを暗号化できます。WAN ブートのユーティリティーを使って、3DES (Triple Data Encryption Standard) または AES (Advanced Encryption Standard) の暗号化鍵を作成できます。この鍵を、WAN ブートサーバーとクライアントの両方に渡します。WAN ブートサーバーはこの暗号化鍵を使って、クライアントに転送するデータを暗号化します。クライアントはこの鍵を使って、インストール時に暗号化されて転送された構成ファイルとセキュリティーファイルを、復号化できます。

クライアントに暗号化鍵をインストールすると、クライアントは以降の WAN ブートインストールにこの鍵を使用します。

サイトで暗号化鍵の使用が許可されていない場合もあります。サイトで暗号化を使用できるかどうかについては、サイトのセキュリティー管理者に問い合わせてください。サイトで暗号化を使用できる場合は、3DES 暗号化鍵または AES 暗号化鍵のどちらを使用すべきかを、セキュリティー管理者に尋ねてください。

暗号化鍵の使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

HTTPS によるデータの保護

WAN ブートでは、WAN ブートサーバーとクライアントの間のデータ転送に HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。HTTPS を使用すると、サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に身分証明を行うよう要求できます。また、HTTPS では、インストール時にサーバーからクライアントに転送されるデータが暗号化されます。

HTTPS では、ネットワーク上でデータを交換するシステムに対して、デジタル証明書による認証が行われます。デジタル証明書は、オンライン通信を行うときにシステム (サーバーまたはクライアント) が信頼できるシステムであることを示すためのファイルです。外部の認証局に依頼してデジタル証明書を取得するか、独自の証明書と認証局を作成します。

クライアントがサーバーを信頼してサーバーからのデータを受け入れるようにするには、サーバーにデジタル証明書をインストールする必要があります。次に、この証明書を信頼するようにクライアントに指示します。サーバーに対して身分証明を行うよう、クライアントに要求することもできます。そのためには、クライアントにデジタル証明書を用意します。次に、インストール時にクライアントが証明書を提出したらその証明書の署名者を受け入れるように、サーバーに指示します。

インストール時にデジタル証明書を使用するには、HTTPS を使用するように Web サーバーを構成する必要があります。HTTPS の使用方法については、Web サーバーのマニュアルを参照してください。

WAN ブートインストールでデジタル証明書を使用するための要件については、「デジタル証明書の要件」を参照してください。WAN ブートインストールでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。