Solaris 10 5/09 설치 설명서: 네트워크 기반 설치

11장 WAN 부트 설치 준비(계획)

이 장에서는 WAN 부트를 설치할 네트워크를 준비하는 방법에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

WAN 부트 요구 사항 및 지침

이 절에서는 WAN 부트를 설치하기 위한 시스템 요구 사항에 대해 설명합니다.

표 11–1 WAN 부트 설치를 위한 시스템 요구 사항


시스템 및 설명	요구 사항
WAN 부트 서버 – WAN 부트 서버는 `wanboot` 프로그램, 구성 및 보안 파일, WAN 부트 미니루트를 제공하는 웹 서버입니다.	운영 체제 – Solaris 9 12/03 OS 또는 호환 버전 웹 서버로 구성해야 합니다. 웹 서버 소프트웨어는 HTTP 1.1을 지원해야 합니다. 디지털 인증서를 사용하려면 웹 서버 소프트웨어에서 HTTPS를 지원해야 합니다.
설치 서버 – 설치 서버는 클라이언트를 설치하는 데 필요한 Solaris Flash 아카이브와 사용자 정의 JumpStart 파일을 제공합니다.	사용 가능한 디스크 공간 – 각 Solaris Flash 아카이브에 사용할 공간 매체 드라이브 – CD-ROM 또는 DVD-ROM 드라이브 운영 체제 – Solaris 9 12/03 OS 또는 호환 버전 설치 서버가 WAN 부트 서버 이외의 시스템인 경우 해당 설치 서버는 다음 추가 요구 사항을 충족해야 합니다. 웹 서버로 구성해야 합니다. 웹 서버 소프트웨어는 HTTP 1.1을 지원해야 합니다. 디지털 인증서를 사용하려면 웹 서버 소프트웨어에서 HTTPS를 지원해야 합니다.
클라이언트 시스템 – WAN을 통해 설치할 원격 시스템입니다.	메모리 - 최소 512MB RAM CPU – 최소 UltraSPARC II 프로세서 하드 디스크 – 최소 2GB의 하드 디스크 공간 OBP – WAN 부트 활성 PROM 클라이언트에 적절한 PROM이 없는 경우 해당 클라이언트에는 CD-ROM 드라이브가 있어야 합니다. 클라이언트에 WAN 부트가 가능한 PROM이 있는지 확인하려면 WAN 부트 지원을 위한 클라이언트 OBP 확인을 참조하십시오.
(선택 사항) DHCP 서버 – DHCP 서버를 사용하여 클라이언트 구성 정보를 제공할 수 있습니다.	SunOS DHCP 서버를 사용하는 경우 다음 중 한 가지 작업을 수행해야 합니다. 서버를 EDHCP 서버로 업그레이드합니다. 8문자 옵션 제한에 맞춰 Sun 공급업체 옵션의 이름을 바꿉니다. WAN 설치에 대한 Sun 공급 업체 옵션에 대한 내용은 (선택 사항) DHCP 서버를 사용하여 구성 정보 제공을 참조하십시오. DHCP 서버가 클라이언트 이외의 다른 서브넷에 있는 경우 BOOTP 중계 에이전트를 구성해야 합니다. BOOTP 중계 에이전트를 구성하는 방법에 대한 자세한 내용은 System Administration Guide: IP Services의 14 장, Configuring the DHCP Service (Tasks)를 참조하십시오.
(선택 사항) 로깅 서버 – 기본적으로 모든 부트 및 설치 로그 메시지는 WAN을 설치하는 동안 클라이언트 콘솔에 표시됩니다. 이러한 메시지를 다른 시스템에 표시하려는 경우 한 시스템이 로깅 서버의 역할을 하도록 지정할 수 있습니다.	웹 서버로 구성해야 합니다. 주 – 설치 시 HTTPS를 사용하는 경우 해당 로깅 서버는 WAN 부트 서버와 동일한 시스템이어야 합니다.
(선택 사항) 프록시 서버 – 설치 데이터 및 파일을 다운로드하는 중에 HTTP 프록시를 사용하도록 WAN 부트 기능을 구성할 수 있습니다.	해당 설치에서 HTTPS를 사용하는 경우 프록시 서버는 터널 HTTPS로 구성되어야 합니다.

웹 서버 소프트웨어 요구 사항 및 지침

WAN 부트 서버와 설치 서버에서 사용하는 웹 서버 소프트웨어는 다음 요구 사항을 충족해야 합니다.

운영 체제 요구 사항 – WAN 부트는 데이터와 파일을 클라이언트 시스템에서 원하는 특정 형식으로 변환하는 CGI(Common Gateway Interface) 프로그램(wanboot-cgi)을 제공합니다. 이 스크립트를 사용하여 WAN 부트 설치를 수행하려면 웹 서버 소프트웨어가 반드시 Solaris 9 12/03 OS 또는 호환 버전이 있어야 합니다.
파일 크기 제한 – 웹 서버에서 HTTP를 통해 전송할 수 있는 파일의 크기를 제한할 수 있습니다. 웹 서버 설명서를 통해 해당 소프트웨어에서 Solaris Flash 아카이브 크기의 파일을 전송할 수 있는지 확인합니다.

주 –
flarcreate 명령은 개별 파일에 대해 더 이상 크기 제한을 두지 않습니다. 4GB가 넘는 개별 파일을 포함하는 Solaris Flash 아카이브를 만들 수 있습니다.

자세한 내용은 Solaris 10 5/09 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 대형 파일을 포함하는 아카이브 만들기을 참조하십시오.
SSL 지원 – WAN 부트 설치 시 HTTPS를 사용하려면 웹 서버 소프트웨어에서 SSL 버전 3을 지원해야 합니다.

서버 구성 옵션

WAN 부트에 필요한 서버의 구성을 사용자 정의하여 사용자의 네트워크 요구 사항을 충족시킬 수 있습니다. 모든 서버를 한 시스템에 호스트하거나 다중 시스템에 배치할 수 있습니다.

단일 서버 – WAN 부트 데이터와 파일을 한 시스템에 집중시키려는 경우 모든 서버를 동일한 시스템에 호스트할 수 있습니다. 한 시스템을 웹 서버로 구성하기만 하면 다양한 모든 서버를 한 시스템에서 관리할 수 있습니다. 하지만 단일 서버에서는 동시에 많은 수의 WAN 부트를 설치할 때 필요한 트래픽 볼륨을 지원하지 못할 수도 있습니다.
다중 서버 – 설치 데이터와 파일을 네트워크 전체에 분산하려는 경우에는 이러한 서버를 다중 시스템에 호스트할 수 있습니다. 중앙 WAN 부트 서버를 설정하고 여러 설치 서버를 구성하여 네트워크에서 Solaris Flash 아카이브를 호스트할 수도 있습니다. 설치 서버와 로깅 서버를 독립 시스템에 호스트하는 경우 이러한 서버는 웹 서버로 구성해야 합니다.

문서 루트 디렉토리에 설치 및 구성 파일 저장

wanboot-cgi 프로그램에서는 WAN 부트를 설치하는 동안 다음 파일을 전송합니다.

wanboot 프로그램
WAN 부트 미니루트
사용자 정의 JumpStart 파일
Solaris Flash 아카이브

wanboot-cgi 프로그램이 이러한 파일을 전송할 수 있게 하려면 해당 파일을 웹 서버 소프트웨어에서 액세스할 수 있는 디렉토리에 저장해야 합니다. 이러한 파일에 액세스할 수 있는 한 가지 방법으로 파일을 사용자 웹 서버의 document root(문서 루트)에 둘 수 있습니다.

문서 루트 또는 기본 문서 디렉토리는 클라이언트가 사용할 수 있도록 파일을 저장하는 웹 서버의 디렉토리입니다. 사용자 웹 서버 소프트웨어에서 이러한 디렉토리의 이름을 지정하고 구성할 수 있습니다. 사용자 웹 서버에서 문서 루트 디렉토리를 설정하는 방법에 대한 자세한 내용은 해당 웹 서버 설명서를 참조하십시오.

해당 문서 루트 디렉토리에 여러 하위 디렉토리를 만들어 다양한 설치 및 구성 파일을 저장하려 할 수도 있습니다. 예를 들어, 설치할 각 클라이언트 그룹에 대해 특정 하위 디렉토리를 만들려는 경우입니다. 네트워크 전체에 여러 가지 서로 다른 Solaris OS 릴리스를 설치하는 경우 각 릴리즈마다 하위 디렉토리를 만들 수 있습니다.

그림 11–1은 문서 루트 디렉토리의 기본 샘플 구조를 보여줍니다. 이 예에서 WAN 부트 서버와 설치 서버는 동일한 시스템 상에 있으며 해당 서버는 Apache 웹 서버 소프트웨어를 실행하고 있습니다.

그림 11–1 문서 루트 디렉토리의 샘플 구조

이 샘플 문서 디렉토리는 다음 구조를 사용합니다.

/opt/apache/htdocs 디렉토리는 문서 루트 디렉토리입니다.
WAN 부트 미니루트(miniroot) 디렉토리는 WAN 부트 미니루트를 포함합니다.
wanboot 디렉토리는 wanboot 프로그램을 포함합니다.
Solaris Flash(flash) 디렉토리에는 클라이언트 및 하위 디렉토리 archives를 설치하는 데 필요한 사용자 정의 JumpStart 파일이 포함됩니다. archives 디렉토리에는 현재 Solaris 릴리스 Flash 아카이브가 포함됩니다.

주 –

WAN 부트 서버와 설치 서버가 다른 시스템인 경우 사용자는 설치 서버에 flash 디렉토리를 저장하려 할 수 있습니다. WAN 부트 서버에서 이러한 파일과 디렉토리에 액세스할 수 있는지 확인합니다.

문서 루트 디렉토리를 만드는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오. 이들 설치 파일을 만들고 저장하는 방법에 대한 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

`/etc/netboot` 계층에 구성 및 보안 정보 저장

/etc/netboot 디렉토리에는 WAN 부트 설치에 필요한 구성 정보, 개인 키, 디지털 인증서 및 인증 기관이 들어 있습니다. 이 절에서는 WAN 부트 설치를 사용자 정의하기 위해 /etc/netboot 디렉토리에 만들 수 있는 파일과 디렉토리에 대해 설명합니다.

WAN 부트 설치 범위 사용자 정의

설치하는 동안 wanboot-cgi 프로그램에서는 WAN 부트 서버의 /etc/netboot 디렉토리에서 클라이언트 정보를 검색합니다. wanboot-cgi 프로그램은 이 정보를 WAN 부트 파일 시스템으로 변환한 다음 이를 해당 클라이언트에 전송합니다. /etc/netboot 디렉토리에 하위 디렉토리를 만들어 WAN 설치 범위를 사용자 정의할 수 있습니다. 다음 디렉토리 구조를 사용하여 설치하려는 클라이언트 간 구성 정보 공유 방법을 정의합니다.

전역 구성 – 네트워크 상의 모든 클라이언트가 구성 정보를 공유하게 하려면 공유할 파일을 /etc/netboot 디렉토리에 저장합니다.
네트워크별 구성 – 특정 서브넷의 시스템에서만 구성 정보를 공유하려면 공유할 구성 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.
/etc/netboot/net-ip
이 예에서 net-ip는 클라이언트 서브넷의 IP 주소입니다. 예를 들어, IP 주소가 192.168.255.0인 서브넷상의 모든 시스템에서 구성 파일을 공유하려면 /etc/netboot/192.168.255.0 디렉토리를 만듭니다. 그런 다음 해당 구성 파일을 이 디렉토리에 저장합니다.
클라이언트별 구성 – 특정 클라이언트만 부트 파일 시스템을 사용하도록 하려면 부트 파일 시스템 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.
/etc/netboot/net-ip/client-ID
이 예에서 net-ip는 서브넷의 IP 주소입니다. client-ID는 DHCP 서버에서 할당한 클라이언트 ID이거나 사용자별 클라이언트 ID입니다. 예를 들어, 서브넷 192.168.255.0에서 클라이언트 ID가 010003BA152A42인 시스템이 특정 구성 파일을 사용하게 하려면 /etc/netboot/192.168.255.0/010003BA152A42 디렉토리를 만듭니다. 그런 다음 해당 파일을 이 디렉토리에 저장합니다.

`/etc/netboot` 디렉토리에 보안 및 구성 정보 지정

다음 파일을 만들고 /etc/netboot 디렉토리에 저장하여 보안 및 구성 정보를 지정합니다.

wanboot.conf – 이 파일은 WAN 부트 설치에 대한 클라이언트 구성 정보를 지정합니다.
시스템 구성 파일( system.conf) – 이 시스템 구성 파일은 클라이언트의 sysidcfg 파일 및 사용자 정의 JumpStart 파일의 위치를 지정합니다.
keystore – 이 파일에는 클라이언트의 HMAC SHA1 해싱 키, 3DES 또는 AES 암호 키 및 SSL 개인 키가 들어 있습니다.
truststore – 이 파일에는 클라이언트가 신뢰하는 인증서 서명 기관의 디지털 인증서가 들어 있습니다. 이러한 신뢰할 수 있는 인증서는 해당 클라이언트에게 설치하는 동안 서버를 신뢰할 것을 지시합니다.
certstore – 이 파일에는 클라이언트의 디지털 인증서가 들어 있습니다.

주 –
certstore 파일은 클라이언트 ID 디렉토리에 있어야 합니다. /etc/netboot 디렉토리의 하위 디렉토리에 대한 자세한 내용은 WAN 부트 설치 범위 사용자 정의를 참조하십시오

이러한 파일을 만들고 저장하는 방법에 대한 자세한 내용은 다음 절차를 참조하십시오.

`/etc/netboot` 디렉토리에서 보안 및 구성 정보 공유

네트워크에 클라이언트를 설치하기 위해 여러 다른 클라이언트 간 또는 전체 서브넷에서 보안 및 구성 파일을 공유하려 할 수 있습니다. /etc/netboot/net-ip/client-ID, /etc/netboot/net-ip 및 /etc/netboot 디렉토리에 구성 정보를 분산하여 이러한 파일을 공유할 수 있습니다. wanboot-cgi 프로그램은 이러한 디렉토리에서 클라이언트에 가장 적합한 구성 정보를 검색하여 설치하는 동안 해당 정보를 사용합니다.

wanboot-cgi 프로그램은 다음 순서로 클라이언트 정보를 검색합니다.

/etc/netboot/net-ip/client-ID – wanboot-cgi 프로그램은 먼저 해당 클라이언트 시스템에 대한 구성 정보를 확인합니다. /etc/netboot/net-ip/client-ID 디렉토리에 클라이언트 구성 정보가 모두 포함되어 있으면 wanboot-cgi 프로그램은 /etc/netboot 디렉토리의 다른 곳에서는 구성 정보를 확인하지 않습니다.
/etc/netboot/net-ip – 필요한 정보가 /etc/netboot/net-ip/client-ID 디렉토리에 모두 있지 않으면 wanboot-cgi 프로그램은 /etc/netboot/net-ip 디렉토리에서 서브넷 구성 정보를 확인합니다.
/etc/netboot - 나머지 정보가 /etc/netboot/net-ip 디렉토리에 없으면 wanboot-cgi 프로그램은 /etc/netboot 디렉토리에서 전역 구성 정보를 확인합니다.

그림 11–2는 /etc/netboot 디렉토리를 설정하여 WAN 부트 설치를 사용자 정의할 수 있는 방법을 보여줍니다.

그림 11–2 샘플 `/etc/netboot` 디렉토리

그림 11–2의 /etc/netboot 디렉토리 레이아웃을 사용하여 다음 WAN 부트 설치를 수행할 수 있습니다.

클라이언트 010003BA152A42 설치 시 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0/010003BA152A42 디렉토리에서 다음 파일을 사용합니다.
- system.conf
- keystore
- truststore
- certstore
그런 다음 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0 디렉토리의 wanboot.conf 파일을 사용합니다.
192.168.255.0 서브넷에 있는 클라이언트를 설치하는 경우 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0 디렉토리에서 wanboot.conf, keystore 및 truststore 파일을 사용합니다. 그런 다음 wanboot-cgi 프로그램은 /etc/netboot 디렉토리의 system.conf 파일을 사용합니다.
192.168.255.0 서브넷에 없는 클라이언트 시스템을 설치하는 경우 wanboot-cgi 프로그램은 /etc/netboot 디렉토리에서 다음 파일을 사용합니다.
- wanboot.conf
- system.conf
- keystore
- truststore

`wanboot-cgi` 프로그램 저장

wanboot-cgi 프로그램은 WAN 부트 서버에서 해당 클라이언트로 데이터 및 파일을 전송합니다. 사용자는 이 프로그램이 클라이언트에서 액세스할 수 있는 WAN 부트 서버의 디렉토리에 있는지 확인해야 합니다. 해당 클라이언트에서 이 프로그램에 액세스할 수 있게 하는 한 가지 방법은 프로그램을 WAN 부트 서버의 cgi-bin 디렉토리에 저장하는 것입니다. wanboot-cgi 프로그램을 CGI 프로그램으로 사용하도록 웹 서버 소프트웨어를 구성해야 합니다. CGI 프로그램 요구 사항에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

디지털 인증서 요구 사항

WAN 부트 설치에 보안을 추가하려는 경우 디지털 인증서를 사용하여 서버 및 클라이언트 인증을 사용 가능하게 할 수 있습니다. WAN 부트는 디지털 인증서를 사용하여 온라인 트랜잭션 도중 서버나 클라이언트의 ID를 설정할 수 있습니다. 디지털 인증서는 CA(인증 기관)에서 발행합니다. 이러한 인증서에는 일련 번호, 만료일, 인증서 소유자 공용 키의 복사본 및 인증 기관의 디지털 서명이 포함됩니다.

설치하는 동안 서버 인증이 필요하거나 클라이언트와 서버 인증이 모두 필요한 경우 해당 서버에 디지털 인증서를 설치해야 합니다. 디지털 인증서를 사용하는 경우 다음 지침을 따릅니다.

디지털 인증서를 사용하려는 경우 해당 디지털 인증서는 PKCS#12(Public-Key Cryptography Standards #12) 파일 형식으로 지정해야 합니다.
고유한 인증서를 만들려면 해당 인증서를 PKCS#12 파일로 만들어야 합니다.
타사 인증 기관에서 인증서를 받는 경우 인증서를 PKCS#12 형식으로 요청합니다.

WAN 부트 설치하는 동안 PKCS#12 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

WAN 부트 보안 제한 사항

WAN 부트는 여러 다양한 보안 기능을 제공하지만 WAN 부트에서 이러한 잠재적인 비보안 문제를 다루고 있지는 않습니다.

DoS(서비스 거부) 공격 – 서비스 거부 공격은 다양한 형태로 나타날 수 있으며 그 목표는 특정 서비스에 대한 사용자의 액세스를 막는 것입니다. DoS 공격은 많은 양의 데이터로 네트워크를 제압하거나 제한된 자원을 적극적으로 소모하는 것일 수 있습니다. 다른 DoS 공격은 전송 도중 시스템 간 전송되는 데이터를 조작하는 것입니다. WAN 부트 설치 방법는 DoS 공격으로부터 서버나 클라이언트를 보호하지 않습니다.
서버의 손상된 바이너리 – WAN 부트 설치 방법은 설치를 수행하기 전에 WAN 부트 미니루트나 Solaris Flash 아카이브의 무결성을 확인하지 않습니다. 설치를 수행하기 전에 http://sunsolve.sun.com의 Solaris Fingerprint Database에 대해 Solaris 바이너리의 무결성을 확인하십시오.
암호 키 및 해싱 키 프라이버시 – WAN 부트에 암호 키나 해싱 키를 사용하는 경우 설치하는 동안 명령줄에 해당 키 값을 입력해야 합니다. 사용자 네트워크의 필수 주의 사항에 따라 이러한 키 값이 비공개 상태로 남아 있는지 확인합니다.
네트워크 이름 지정 서비스 침해 – 네트워크에서 이름 지정 서비스를 사용하는 경우 WAN 부트를 설치하기 전에 이름 서버의 무결성을 확인합니다.

WAN 부트 설치에 필요한 정보 수집

WAN 부트를 설치할 네트워크를 구성하려면 다양한 정보를 수집해야 합니다. WAN을 통한 설치 준비 시 이 정보를 기록하려 할 수도 있습니다.

다음 워크시트를 사용하여 해당 네트워크의 WAN 부트 설치 정보를 기록합니다.

표 11–2 서버 정보 수집 워크시트


필요한 정보	참고
설치 서버 정보 설치 서버의 WAN 부트 미니루트 경로 설치 서버의 사용자 정의 JumpStart 파일 경로
WAN 부트 서버 정보 WAN 부트 서버의 `wanboot` 프로그램 경로 WAN 부트 서버의 `wanboot-cgi` 프로그램 URL WAN 부트 서버의 `/etc/netboot` 계층에 있는 클라이언트 하위 디렉토리 경로 (선택 사항) PKCS#12 인증서 파일의 파일 이름 (선택 사항) WAN 설치에 필요한 WAN 부트 서버가 아닌 시스템의 호스트 이름 (선택 사항) 네트워크 프록시 서버의 IP 주소 및 TCP 포트 번호
선택적 서버 정보 로깅 서버 `bootlog-cgi` 스크립트의 URL 네트워크 프록시 서버의 IP 주소 및 TCP 포트 번호

표 11–3 클라이언트 정보 수집 워크시트


정보	참고
클라이언트 서브넷의 IP 주소
클라이언트 라우터의 IP 주소
클라이언트의 IP 주소
클라이언트의 서브넷 마스크
클라이언트의 호스트 이름
클라이언트의 MAC 주소