Solaris 10 10/09 インストールガイド (ネットワークインストール)

第 11 章 WAN ブートによるインストールの準備 (計画)

この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。この章の内容は次のとおりです。

WAN ブート の要件とガイドライン

ここでは、WAN ブートインストールを実行するためのシステム要件について説明します。

表 11–1 WAN ブートインストールを行うためのシステム要件

システムと説明 

要件 

WAN ブートサーバー – wanboot プログラム、構成ファイルとセキュリティーファイル、および WAN ブートミニルートを提供する Web サーバーです。

 

  • オペレーティングシステム - Solaris 9 12/03 OS、またはその互換バージョン

  • Web サーバーとして構成されていること

  • Web サーバーソフトウェアで HTTP 1.1 がサポートされていること

  • デジタル証明書を使用する場合は、Web サーバーソフトウェアで HTTPS がサポートされていること

インストールサーバー – クライアントのインストールに必要な Solaris フラッシュアーカイブとカスタム JumpStart ファイルを提供します。

  • ディスク容量 – 各 Solaris フラッシュアーカイブに必要な容量

  • メディアドライブ – CD-ROM ドライブまたは DVD-ROM ドライブ

  • オペレーティングシステム - Solaris 9 12/03 OS、またはその互換バージョン

WAN ブートサーバーとは別のシステムで稼働している場合、インストールサーバーは次の追加要件を満たす必要があります。  

  • Web サーバーとして構成されていること

  • Web サーバーソフトウェアで HTTP 1.1 がサポートされていること

  • デジタル証明書を使用する場合は、Web サーバーソフトウェアで HTTPS がサポートされていること

クライアントシステム – WAN 経由でインストールを行う対象のリモートシステム

 

  • メモリー - 768M バイト以上の RAM

  • CPU – UltraSPARC II プロセッサ以上

  • ハードディスク – 2G バイト以上のハードディスク容量

  • OBP – WAN ブート対応の PROM

    適切な PROM を持っていないクライアントには、CD-ROM ドライブが必要です。

    クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。

(省略可能) DHCP サーバー – DHCP サーバーを使ってクライアント構成情報を提供できます。

SunOS DHCP サーバーを使用している場合は、次のいずれかの作業を実行する必要があります。 

  • サーバーを EDHCP サーバーにアップグレードします。

  • Sun ベンダーオプションの名前を変更して、オプションに対する 8 文字の制限を満たすようにします。WAN インストール固有の Sun ベンダーオプションの詳細については、「(省略可能) DHCP による構成情報の提供」を参照してください。

DHCP サーバーがクライアントとは異なるサブネットにある場合は、BOOTP リレーエージェントを構成する必要があります。BOOTP リレーエージェントの構成方法については、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。

(省略可能) ログサーバー – デフォルトでは、WAN インストール時のブートログメッセージおよびインストールログメッセージは、すべてクライアントのコンソールに表示されます。これらのメッセージを別のシステムに表示するには、ログサーバーとして使用するシステムを指定します。

Web サーバーとして構成されている必要があります。 


注 –

インストール時に HTTPS を使用する場合は、WAN ブートサーバーと同じシステムにログサーバーを置く必要があります。


(省略可能) プロキシサーバー – インストールデータとファイルのダウンロード時に HTTP プロキシを使用するように WAN ブート機能を構成できます。

インストールで HTTPS を使用する場合は、HTTPS トンネリングを行うようにプロキシサーバーを構成する必要があります。 

Web サーバーソフトウェアの要件とガイドライン

WAN ブートサーバーとインストールサーバーで使用する Web サーバーソフトウェアは、次の要件を満たす必要があります。

サーバー構成オプション

WAN ブートに必要なサーバーの構成をカスタマイズすることで、ネットワークのニーズに対応できます。すべてのサーバーを単一のシステムに置くことも、複数のシステムに置くこともできます。

ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存

WAN ブートインストール時に、wanboot-cgi プログラムによって次のファイルが転送されます。

wanboot-cgi プログラムでこれらのファイルを転送できるようにするには、Web サーバーソフトウェアがアクセスできるディレクトリに、これらのファイルを保存する必要があります。たとえば、Web サーバーのドキュメントルートにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。

ドキュメントルートは、Web サーバー上の主要なドキュメントディレクトリであり、クライアントに公開するファイルはここに保存します。Web サーバーソフトウェアを使って、このディレクトリの名前や構成を変更できます。Web サーバー上のドキュメントルートディレクトリを設定する方法については、Web サーバーのマニュアルを参照してください。

ドキュメントルートディレクトリにいくつかのサブディレクトリを作成して、それぞれ異なるインストールファイルと構成ファイルを保存することもできます。たとえば、インストール対象であるクライアントのグループごとに、固有のサブディレクトリを作成します。また、ネットワーク上に何種類かのリリースの Solaris OS をインストールする場合は、リリースごとにサブディレクトリを作成します。

図 11–1 は、ドキュメントルートディレクトリの基本的な構造の例を示しています。この例で、WAN ブートサーバーとインストールサーバーは同じマシンに置かれています。このサーバーでは、Apache Web サーバーソフトウェアが実行されています。

図 11–1 ドキュメントルートディレクトリの構造の例

図については本文で説明します。

この例のドキュメントディレクトリは、次のような構造を使用しています。


注 –

WAN ブートサーバーとインストールサーバーがそれぞれ別のシステムで稼働している場合は、flash ディレクトリをインストールサーバーに置くこともできます。WAN ブートサーバーがこれらのファイルやディレクトリにアクセスできることを確認してください。


ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。インストールファイルの作成および保存の方法については、「カスタム JumpStart インストールファイルの作成」を参照してください。

/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存

/etc/netboot ディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。ここでは、WAN ブートインストールをカスタマイズするために /etc/netboot ディレクトリ内に作成できるファイルとディレクトリについて説明します。

WAN ブートインストールの適用範囲のカスタマイズ

インストール時に wanboot-cgi プログラムは、WAN ブートサーバーの /etc/netboot ディレクトリ内でクライアント情報を検索します。wanboot-cgi プログラムは、この情報を WAN ブートファイルシステムに変換してから、WAN ブートファイルシステムをクライアントに転送します。/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。

/etc/netboot ディレクトリにおけるセキュリティー情報と構成情報の指定

次のファイルを作成して /etc/netboot ディレクトリに保存することで、セキュリティー情報と構成情報を指定します。

これらのファイルの作成方法と保存方法については、次の手順を参照してください。

/etc/netboot ディレクトリにおけるセキュリティー情報と構成情報の共有

ネットワーク上のクライアントに対してインストールを行うとき、いくつかのクライアントで、あるいはすべてのサブネットで、セキュリティーファイルと構成ファイルを共有することもできます。これらのファイルを共有するには、/etc/netboot/net-ip/client-ID/etc/netboot/net-ip、および /etc/netboot の各ディレクトリに構成情報を置きます。インストール時に、wanboot-cgi プログラムはこれらのディレクトリから構成情報を検索し、クライアントに最もよく適合する構成情報を使用します。

wanboot-cgi プログラムは、次の順序でクライアント情報を検索します。

  1. /etc/netboot/net-ip/client-IDwanboot-cgi プログラムはまず、クライアントマシンに固有の構成情報を検索します。/etc/netboot/net-ip/client-ID ディレクトリにすべてのクライアント構成情報が揃っている場合、wanboot-cgi プログラムが /etc/netboot ディレクトリのほかの場所の構成情報を検索することはありません。

  2. /etc/netboot/net-ip – 必要な情報が /etc/netboot/net-ip/client-ID ディレクトリに揃っていない場合、wanboot-cgi プログラムは /etc/netboot/net-ip ディレクトリでサブネット構成情報を検索します。

  3. /etc/netboot - 必要な情報が /etc/netboot/net-ip ディレクトリにも見つからない場合、wanboot-cgi プログラムは /etc/netboot ディレクトリで大域的な構成情報を検索します。

図 11–2 は、/etc/netboot ディレクトリを設定して WAN ブートインストールをカスタマイズする方法を示しています。

図 11–2 /etc/netboot ディレクトリの例

図については本文で説明します。

図 11–2/etc/netboot ディレクトリレイアウトでは、次のような WAN ブートインストールを実行できます。

wanboot-cgi プログラムの保存

wanboot-cgi プログラムは、WAN ブートサーバーからクライアントにデータとファイルを転送します。このプログラムは、WAN ブートサーバー上でクライアントがアクセスできるディレクトリに置く必要があります。たとえば、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムを置くと、クライアントがこのプログラムにアクセスできるようになります。wanboot-cgi プログラムを CGI プログラムとして使用するように Web サーバーソフトウェアを構成する必要がある場合もあります。CGI プログラムの要件については、Web サーバーのマニュアルを参照してください。

デジタル証明書の要件

WAN ブートインストールのセキュリティーを高めるには、デジタル証明書を使ってサーバーとクライアントの認証を有効にします。WAN ブートでは、オンライントランザクションの間に、デジタル証明書を使ってサーバーまたはクライアントの識別情報が確立されます。デジタル証明書は認証局 (CA) によって発行されます。これらの証明書には、シリアル番号、有効期限、証明書所有者の公開鍵のコピー、および認証局のデジタル署名が含まれています。

サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に認証を行うには、サーバーにデジタル証明書をインストールする必要があります。デジタル証明書を使用するときは、次のガイドラインに従ってください。

WAN ブートインストールで PKCS#12 証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

WAN ブートのセキュリティー限界

WAN ブートには各種のセキュリティー機能が用意されていますが、次のような潜在的問題には対応していません。

WAN ブートインストールに必要な情報の収集

WAN ブートインストールを行うためにネットワークを構成するには、さまざまな情報を収集する必要があります。WAN 経由でのインストールを準備するときに、この情報を書きとめておくとよいでしょう。

ネットワークについて WAN ブートインストール情報を記録するには、次のワークシートを使用してください。

表 11–2 サーバー情報を収集するためのワークシート

必要な情報 

注釈 

インストールサーバーの情報 

  • インストールサーバー上の WAN ブートミニルートへのパス

  • インストールサーバー上のカスタム JumpStart ファイルへのパス

 

WAN ブートサーバーの情報 

  • WAN ブートサーバー上の wanboot プログラムへのパス

  • WAN ブートサーバー上の wanboot-cgi プログラムの URL

  • WAN ブートサーバー上の /etc/netboot 階層にあるクライアントのサブディレクトリへのパス

  • (省略可能) PKCS#12 証明書ファイルのファイル名

  • (省略可能) WAN ブートサーバー以外で、WAN インストールに必要なすべてのマシンのホスト名

  • (省略可能) ネットワークのプロキシサーバーの IP アドレスと TCP ポート番号

 

オプションサーバーの情報 

  • ログサーバー上の bootlog-cgi スクリプトの URL

  • ネットワークのプロキシサーバーの IP アドレスと TCP ポート番号

 

表 11–3 クライアント情報を収集するためのワークシート

情報 

注釈 

クライアントのサブネットの IP アドレス 

 

クライアントのルーターの IP アドレス 

 

クライアントの IP アドレス 

 

クライアントのサブネットマスク 

 

クライアントのホスト名 

 

クライアントの MAC アドレス