この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。この章の内容は次のとおりです。
ここでは、WAN ブートインストールを実行するためのシステム要件について説明します。
表 11–1 WAN ブートインストールを行うためのシステム要件
システムと説明 |
要件 |
---|---|
WAN ブートサーバー – wanboot プログラム、構成ファイルとセキュリティーファイル、および WAN ブートミニルートを提供する Web サーバーです。 |
|
インストールサーバー – クライアントのインストールに必要な Solaris フラッシュアーカイブとカスタム JumpStart ファイルを提供します。 |
WAN ブートサーバーとは別のシステムで稼働している場合、インストールサーバーは次の追加要件を満たす必要があります。
|
|
|
SunOS DHCP サーバーを使用している場合は、次のいずれかの作業を実行する必要があります。
DHCP サーバーがクライアントとは異なるサブネットにある場合は、BOOTP リレーエージェントを構成する必要があります。BOOTP リレーエージェントの構成方法については、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。 |
|
(省略可能) ログサーバー – デフォルトでは、WAN インストール時のブートログメッセージおよびインストールログメッセージは、すべてクライアントのコンソールに表示されます。これらのメッセージを別のシステムに表示するには、ログサーバーとして使用するシステムを指定します。 |
Web サーバーとして構成されている必要があります。 注 – インストール時に HTTPS を使用する場合は、WAN ブートサーバーと同じシステムにログサーバーを置く必要があります。 |
(省略可能) プロキシサーバー – インストールデータとファイルのダウンロード時に HTTP プロキシを使用するように WAN ブート機能を構成できます。 |
インストールで HTTPS を使用する場合は、HTTPS トンネリングを行うようにプロキシサーバーを構成する必要があります。 |
WAN ブートサーバーとインストールサーバーで使用する Web サーバーソフトウェアは、次の要件を満たす必要があります。
オペレーティングシステム – WAN ブートでは、wanboot-cgi という CGI (Common Gateway Interface) プログラムが、クライアントマシンが受け付ける特定のフォーマットにデータやファイルを変換します。これらのスクリプトを使用して WAN ブートインストールを実行するには、Solaris 9 12/03 OS またはその互換バージョンで Web サーバーソフトウェアを実行する必要があります。
ファイルサイズの制限 – Web サーバーソフトウェアによっては、HTTP を介して転送できるファイルサイズが制限される場合もあります。Web サーバーのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。
詳細については、『Solaris 10 10/09 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
SSL サポート – WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアで SSL バージョン 3 がサポートされている必要があります。
WAN ブートに必要なサーバーの構成をカスタマイズすることで、ネットワークのニーズに対応できます。すべてのサーバーを単一のシステムに置くことも、複数のシステムに置くこともできます。
単一のサーバー – WAN ブートのデータとファイルを 1 台のシステムに集中化させたい場合は、すべてのサーバーを同じマシンで稼働させることができます。各種のサーバーを 1 台のシステムで管理できるほか、1 台のシステムを Web サーバーとして構成するだけで済みます。ただし、単一のサーバーでは、多数の WAN ブートインストールが同時に発生した場合に、必要なトラフィック量をサポートできないことがあります。
複数のサーバー – インストールデータとファイルをネットワーク上に分散させたい場合は、これらのサーバーを複数のマシンで稼働させることができます。たとえば、中心となる WAN ブートサーバーを 1 台設定し、複数のインストールサーバーを構成して Solaris フラッシュアーカイブをネットワーク上に分散できます。インストールサーバーとログサーバーを別々のマシンで稼働させる場合は、どちらのサーバーも Web サーバーとして構成する必要があります。
WAN ブートインストール時に、wanboot-cgi プログラムによって次のファイルが転送されます。
wanboot プログラム
WAN ブートミニルート
カスタム JumpStart ファイル
Solaris フラッシュアーカイブ
wanboot-cgi プログラムでこれらのファイルを転送できるようにするには、Web サーバーソフトウェアがアクセスできるディレクトリに、これらのファイルを保存する必要があります。たとえば、Web サーバーのドキュメントルートにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
ドキュメントルートは、Web サーバー上の主要なドキュメントディレクトリであり、クライアントに公開するファイルはここに保存します。Web サーバーソフトウェアを使って、このディレクトリの名前や構成を変更できます。Web サーバー上のドキュメントルートディレクトリを設定する方法については、Web サーバーのマニュアルを参照してください。
ドキュメントルートディレクトリにいくつかのサブディレクトリを作成して、それぞれ異なるインストールファイルと構成ファイルを保存することもできます。たとえば、インストール対象であるクライアントのグループごとに、固有のサブディレクトリを作成します。また、ネットワーク上に何種類かのリリースの Solaris OS をインストールする場合は、リリースごとにサブディレクトリを作成します。
図 11–1 は、ドキュメントルートディレクトリの基本的な構造の例を示しています。この例で、WAN ブートサーバーとインストールサーバーは同じマシンに置かれています。このサーバーでは、Apache Web サーバーソフトウェアが実行されています。
この例のドキュメントディレクトリは、次のような構造を使用しています。
/opt/apache/htdocs ディレクトリは、ドキュメントルートディレクトリです。
Solaris フラッシュ (flash) ディレクトリには、クライアントのインストールに必要なカスタム JumpStart ファイルと、サブディレクトリ archives が置かれています。archives ディレクトリには、Solaris 最新リリースのフラッシュアーカイブが置かれています。
WAN ブートサーバーとインストールサーバーがそれぞれ別のシステムで稼働している場合は、flash ディレクトリをインストールサーバーに置くこともできます。WAN ブートサーバーがこれらのファイルやディレクトリにアクセスできることを確認してください。
ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。インストールファイルの作成および保存の方法については、「カスタム JumpStart インストールファイルの作成」を参照してください。
/etc/netboot ディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。ここでは、WAN ブートインストールをカスタマイズするために /etc/netboot ディレクトリ内に作成できるファイルとディレクトリについて説明します。
インストール時に wanboot-cgi プログラムは、WAN ブートサーバーの /etc/netboot ディレクトリ内でクライアント情報を検索します。wanboot-cgi プログラムは、この情報を WAN ブートファイルシステムに変換してから、WAN ブートファイルシステムをクライアントに転送します。/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。
大域的な構成 – ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。
ネットワーク固有の構成 – 特定のサブネット上のクライアントだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip |
この例で、net-ip はクライアントのサブネットの IP アドレスです。たとえば、192.168.255.0 という IP アドレスを持つサブネット上のすべてのシステムで構成ファイルを共有するには、/etc/netboot/192.168.255.0 というディレクトリを作成します。その後、このディレクトリに構成ファイルを保存します。
クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip/client-ID |
この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。たとえば、サブネット 192.168.255.0 にあって 010003BA152A42 というクライアント ID を持つシステムで、特定の構成ファイルを使用するには、/etc/netboot/192.168.255.0/010003BA152A42 というディレクトリを作成します。その後、該当するファイルをこのディレクトリに保存します。
次のファイルを作成して /etc/netboot ディレクトリに保存することで、セキュリティー情報と構成情報を指定します。
システム構成ファイル ( system.conf) – このシステム構成ファイルは、クライアントの sysidcfg ファイルおよびカスタム JumpStart ファイルの場所を指定します。
keystore – このファイルには、クライアントの HMAC SHA1 ハッシュキー、3DES または AES 暗号化鍵、および SSL 非公開鍵が保存されます。
truststore – このファイルには、クライアントが信頼すべき、認証局のデジタル証明書が保存されます。これら信頼できる証明書に従って、クライアントはインストール時にサーバーを信頼します。
certstore – このファイルには、クライアントのデジタル証明書が保存されます。
certstore ファイルは、クライアント ID のディレクトリに置く必要があります。/etc/netboot ディレクトリのサブディレクトリに関する詳細は、「WAN ブートインストールの適用範囲のカスタマイズ」を参照してください。
これらのファイルの作成方法と保存方法については、次の手順を参照してください。
ネットワーク上のクライアントに対してインストールを行うとき、いくつかのクライアントで、あるいはすべてのサブネットで、セキュリティーファイルと構成ファイルを共有することもできます。これらのファイルを共有するには、/etc/netboot/net-ip/client-ID、/etc/netboot/net-ip、および /etc/netboot の各ディレクトリに構成情報を置きます。インストール時に、wanboot-cgi プログラムはこれらのディレクトリから構成情報を検索し、クライアントに最もよく適合する構成情報を使用します。
wanboot-cgi プログラムは、次の順序でクライアント情報を検索します。
/etc/netboot/net-ip/client-ID – wanboot-cgi プログラムはまず、クライアントマシンに固有の構成情報を検索します。/etc/netboot/net-ip/client-ID ディレクトリにすべてのクライアント構成情報が揃っている場合、wanboot-cgi プログラムが /etc/netboot ディレクトリのほかの場所の構成情報を検索することはありません。
/etc/netboot/net-ip – 必要な情報が /etc/netboot/net-ip/client-ID ディレクトリに揃っていない場合、wanboot-cgi プログラムは /etc/netboot/net-ip ディレクトリでサブネット構成情報を検索します。
/etc/netboot - 必要な情報が /etc/netboot/net-ip ディレクトリにも見つからない場合、wanboot-cgi プログラムは /etc/netboot ディレクトリで大域的な構成情報を検索します。
図 11–2 は、/etc/netboot ディレクトリを設定して WAN ブートインストールをカスタマイズする方法を示しています。
図 11–2 の /etc/netboot ディレクトリレイアウトでは、次のような WAN ブートインストールを実行できます。
クライアント 010003BA152A42 に対してインストールを行うときは、/etc/netboot/192.168.255.0/010003BA152A42 ディレクトリにある次のファイルが wanboot-cgi プログラムによって使用されます。
system.conf
キーストア
truststore
certstore
次に、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上のクライアントに対してインストールを行うときは、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf、keystore、および truststore の各ファイルが、wanboot-cgi プログラムによって使用されます。次に、/etc/netboot ディレクトリにある system.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上にないクライアントマシンに対してインストールを行うときは、/etc/netboot ディレクトリにある次のファイルが、wanboot-cgi プログラムによって使用されます。
wanboot.conf
system.conf
キーストア
truststore
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントにデータとファイルを転送します。このプログラムは、WAN ブートサーバー上でクライアントがアクセスできるディレクトリに置く必要があります。たとえば、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムを置くと、クライアントがこのプログラムにアクセスできるようになります。wanboot-cgi プログラムを CGI プログラムとして使用するように Web サーバーソフトウェアを構成する必要がある場合もあります。CGI プログラムの要件については、Web サーバーのマニュアルを参照してください。
WAN ブートインストールのセキュリティーを高めるには、デジタル証明書を使ってサーバーとクライアントの認証を有効にします。WAN ブートでは、オンライントランザクションの間に、デジタル証明書を使ってサーバーまたはクライアントの識別情報が確立されます。デジタル証明書は認証局 (CA) によって発行されます。これらの証明書には、シリアル番号、有効期限、証明書所有者の公開鍵のコピー、および認証局のデジタル署名が含まれています。
サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に認証を行うには、サーバーにデジタル証明書をインストールする必要があります。デジタル証明書を使用するときは、次のガイドラインに従ってください。
デジタル証明書を使用する場合、デジタル証明書は PKCS#12 (Public-Key Cryptography Standards #12) ファイルの一部としてフォーマットされている必要があります。
独自の証明書を作成する場合は、PKCS#12 ファイルとして作成する必要があります。
第三者機関である認証局から証明書を取得する場合は、PKCS#12 フォーマットの証明書を依頼します。
WAN ブートインストールで PKCS#12 証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
WAN ブートには各種のセキュリティー機能が用意されていますが、次のような潜在的問題には対応していません。
サービス妨害攻撃 – サービス妨害 (DoS) 攻撃にはさまざまな形式がありますが、その目的はユーザーが特定のサービスにアクセスできないようにすることです。たとえば、大量のデータでネットワークに負担をかけたり、限られたリソースを強引に消費したりする DoS 攻撃があります。また、システム間で転送中のデータに対して操作を加える DoS 攻撃もあります。WAN ブートでは、DoS 攻撃に対するサーバーやクライアントの保護は行われません。
サーバー上のバイナリの破壊 – WAN ブートインストールでは、インストールの実行前に WAN ブートミニルートや Solaris フラッシュアーカイブの完全性がチェックされることはありません。インストールを実行する前に、http://sunsolve.sun.com の Solaris Fingerprint Database (指紋データベース) と比較して、Solaris バイナリの完全性を確認してください。
暗号化鍵とハッシュキーの機密性 – WAN ブートで暗号化鍵やハッシュキーを使用する場合は、インストール時にキーの値をコマンド行に入力する必要があります。ネットワークに必要な注意事項を守り、キーの値を機密に保つようにしてください。
ネットワークのネームサービスの危殆化 – ネットワークでネームサービスを使用する場合は、WAN ブートインストールを実行する前に、ネームサーバーの完全性を確認してください。
WAN ブートインストールを行うためにネットワークを構成するには、さまざまな情報を収集する必要があります。WAN 経由でのインストールを準備するときに、この情報を書きとめておくとよいでしょう。
ネットワークについて WAN ブートインストール情報を記録するには、次のワークシートを使用してください。
表 11–2 サーバー情報を収集するためのワークシート表 11–3 クライアント情報を収集するためのワークシート
情報 |
注釈 |
---|---|
クライアントのサブネットの IP アドレス |
|
クライアントのルーターの IP アドレス |
|
クライアントの IP アドレス |
|
クライアントのサブネットマスク |
|
クライアントのホスト名 |
|
クライアントの MAC アドレス |
|