系統與說明 |
需求 |
---|---|
WAN Boot 伺服器 – WAN Boot 伺服器是一種 Web 伺服器,可提供 wanboot 程式、配置檔案與安全檔案以及 WAN Boot miniroot。 |
|
如果安裝伺服器為 WAN Boot 伺服器以外的系統,則它必須滿足以下附加要求:
|
|
|
|
如果您使用的是 SunOS DHCP 伺服器,則必須執行下列一項作業。
如果 DHCP 伺服器並非位於用戶端,而是在其他子網路上,則必須配置一個 BOOTP 中繼代理程式。如需有關如何配置 BOOTP 中繼代理程式的更多資訊,請參閱「System Administration Guide: IP Services 」中的第 14 章「Configuring the DHCP Service (Tasks)」。 |
|
(可選擇) 記錄伺服器 – 依預設,在 WAN 安裝期間,所有的啟動與安裝記錄訊息會顯示於用戶端主控台上。如果要在其他系統上檢視這些訊息,您可以指定一個系統做為記錄伺服器。 |
必須配置為 Web 伺服器。 備註 – 如果您在安裝期間使用 HTTPS,則記錄伺服器與 WAN Boot 伺服器必須為同一個系統。 |
(可選擇) 代理伺服器 – 您可以將 WAN Boot 功能配置為可以在下載安裝資料與檔案期間使用 HTTP 代理伺服器。 |
如果安裝使用 HTTPS,則必須將代理伺服器配置為通道 HTTPS。 |
在 WAN Boot 伺服器與安裝伺服器上使用的 Web 伺服器軟體必須滿足以下需求:
作業系統需求 – WAN Boot 提供共用閘道介面 (CGI) 程式 (wanboot-cgi),用於將資料與檔案轉換為用戶端機器所期望的特定格式。若要利用這些程序檔執行 WAN Boot 安裝,Web 伺服器軟體必須執行 Solaris 9 12/03 作業系統或相容的版本。
檔案大小限定 – Web 伺服器軟體可能會限定透過 HTTP 傳輸的檔案大小。請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
flarcreate 指令在單個檔案上已無大小限制。您可以建立包含大小超過 4 GB 之單個檔案的 Solaris Flash 歸檔。
如需更多資訊,請參閱「Solaris 10 10/09 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。
SSL 支援 – 如果您要在 WAN Boot 安裝中使用 HTTPS,則 Web 伺服器軟體必須支援 SSL 版本 3。
您可以自訂 WAN Boot 所需的伺服器配置以滿足網路需要。您可以將所有的伺服器置於一個系統上,也可將它們置於多個系統上。
單一伺服器 – 如果要使 WAN Boot 資料與檔案集中放置在一個系統上,則可以將所有的伺服器置於同一部機器上。您只需要將一個系統配置為 Web 伺服器,便可以在一個系統上管理所有不同的伺服器。然而,單一伺服器可能無法支援同時進行大量 WAN Boot 安裝所需的通訊量。
多重伺服器 – 如果要在整個網路上分配安裝資料與檔案,可以將這些伺服器置於多部機器上。也可以設定一部 WAN Boot 中央伺服器,並將多部安裝伺服器配置為可在整個網路上放置 Solaris Flash 歸檔。如果將安裝伺服器與記錄伺服器放置在獨立的機器上,則必須將那些伺服器配置為 Web 伺服器。
wanboot-cgi 程式會在 WAN Boot 安裝期間傳輸下列檔案。
wanboot 程式
WAN Boot miniroot
自訂 JumpStart 檔案
Solaris Flash 歸檔
若要使 wanboot-cgi 程式能夠傳輸這些檔案,則必須將它們儲存在 Web 伺服器軟體可以存取的目錄中。將這些檔案放置在 Web 伺服器上的文件根目錄中,便可以存取它們。
文件根目錄或主要文件目錄,是 Web 伺服器上儲存用戶端可用檔案的目錄。您可以在 Web 伺服器軟體中命名與配置該目錄。請參閱您的 Web 伺服器說明文件,以取得有關在 Web 伺服器上設定文件根目錄的更多資訊。
您也許想要建立文件根目錄的各種子目錄以儲存各種安裝檔案與配置檔案。例如,您可能想要為要安裝的每個用戶端群組建立特定的子目錄。計劃要在網路上安裝幾個不同發行版本的 作業系統時,可能會需要為每個發行版本建立子目錄。
圖 11–1 會顯示文件根目錄的基本範例結構。在此範例中,WAN Boot 伺服器與安裝伺服器位於同一部機器上。該伺服器正在執行 Apache Web 伺服器軟體。
該文件目錄範例使用下列結構。
/opt/apache/htdocs 目錄為文件的根目錄。
Solaris Flash (flash) 目錄中包含安裝用戶端所需的自訂 JumpStart 檔案,以及子目錄 archives。archives 目錄包含了目前的 Solaris 發行版本 Flash 歸檔。
如果 WAN Boot 伺服器與安裝伺服器為不同的系統,則也許想要將 flash 目錄儲存在安裝伺服器上。確保 WAN Boot 伺服器可以存取這些檔案與目錄。
如需有關如何建立文件根目錄的資訊,請參閱您的 Web 伺服器說明文件。如需有關如何建立和儲存這些安裝檔案的詳細指示,請參閱建立自訂 JumpStart 安裝檔案。
/etc/netboot 目錄中包含 WAN Boot 安裝所需的配置資訊、私密金鑰、數位憑證以及憑證管理中心。本節說明可以建立於 /etc/netboot 目錄中以自訂 WAN Boot 安裝的檔案與目錄。
在安裝期間,wanboot-cgi 程式會在 WAN Boot 伺服器上的 /etc/netboot 目錄中搜尋用戶端資訊。wanboot-cgi 程式會將此資訊轉換至 WAN Boot 檔案系統,然後將 WAN Boot 檔案系統傳輸至用戶端。您可以在 /etc/netboot 目錄中建立子目錄以自訂 WAN 安裝的範圍。使用下列目錄結構可以定義如何在要安裝的用戶端之間共用配置資訊。
網路特有配置 – 如果您只想讓特定子網路上的機器共用配置資訊,請將您想共用的配置檔案儲存在 /etc/netboot 的子目錄下。使子目錄遵循此命名慣例。
/etc/netboot/net-ip |
在此範例中,net-ip 為用戶端子網路的 IP 位址。例如,若要讓子網路上所有 IP 位址為 192.168.255.0 的系統共用配置檔案,則需要建立一個 /etc/netboot/192.168.255.0 目錄。然後,將配置檔案儲存在此目錄中。
用戶端特定的配置 – 如果您只想讓特定用戶端使用啟動檔案系統,請將啟動檔案系統檔案儲存在 /etc/netboot 的子目錄下。使子目錄遵循此命名慣例。
/etc/netboot/net-ip/client-ID |
在此範例中,net-ip 為子網路的 IP 位址。client-ID 可以是 DHCP 伺服器所指定的用戶端,也可以是使用者指定的用戶端 ID。例如,如果要讓子網路 192.168.255.0 上用戶端 ID 為 010003BA152A42 的系統使用特定的配置檔案,請建立一個 /etc/netboot/192.168.255.0/010003BA152A42 目錄。然後,將適當的檔案儲存於該目錄中。
您可以透過建立下列檔案並將它們儲存在 /etc/netboot 目錄中,來指定安全與配置資訊。
系統配置檔案 (system.conf) – 此系統配置檔會指定用戶端 sysidcfg 檔案及自訂 JumpStart 檔案的位置。
keystore – 此檔案包含用戶端的 HMAC SHA1 雜湊金鑰、3DES 或 AES 加密金鑰以及 SSL 私密金鑰。
truststore – 此檔案包含用戶端可信任的憑證簽發機構所簽發的數位憑證。這些可信任憑證會指示用戶端在安裝期間信任伺服器。
certstore 檔案必須位於用戶端 ID 目錄中。如需有關 /etc/netboot 目錄中子目錄的更多資訊,請參閱自訂 WAN Boot 安裝範圍。
如需有關如何建立與儲存這些檔案的詳細說明,請參閱下列程序:
在網路上安裝用戶端之後,您也許要在數個不同的用戶端之間、或整個子網路上共用安全與配置檔案。您可以透過將配置資訊分配於 /etc/netboot/net-ip/ client-ID、/etc/netboot/net-ip 以及 /etc/netboot 目錄來共用這些檔案。wanboot-cgi 程式會在這些目錄中搜尋最適合用戶端的配置資訊,並在安裝時使用這些資訊。
此 wanboot-cgi 程式使用下列順序來搜尋用戶端資訊。
/etc/netboot/net-ip/ client-ID – wanboot-cgi 程式會首先檢查特定於用戶端機器的配置資訊。如果 /etc/netboot/net-ip/ client-ID 目錄包含所有用戶端配置資訊,則 wanboot-cgi 程式不會在 /etc/netboot 目錄中的其他位置檢查配置資訊。
/etc/netboot/net-ip – 如果並非所有的必備資訊都位於 /etc/netboot/ net-ip/client-ID 目錄中,則 wanboot-cgi 程式會在 /etc/netboot/net-ip 目錄中檢查子網路配置資訊。
/etc/netboot – 如果其餘的資訊沒有位於 /etc/netboot/net-ip 目錄中,則 wanboot-cgi 程式會在 /etc/netboot 目錄中檢查全域配置資訊。
圖 11–2 顯示您可以如何設定 /etc/netboot 目錄,來自訂您的 WAN Boot 安裝。
圖 11–2 中所顯示的 /etc/netboot 目錄配置可讓您執行下列 WAN Boot 安裝。
當您安裝用戶端 010003BA152A42 時,wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0/010003BA152A42 目錄中的下列檔案。
system.conf
keystore
truststore
certstore
然後,wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf 檔案。
如果您安裝了一個位於 192.168.255.0 子網路上的用戶端,則 wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf、keystore 以及 truststore 檔案。然後,wanboot-cgi 程式會使用 /etc/netboot 目錄中的 system.conf 檔案。
如果您安裝了一部並非位於 192.168.255.0 子網路上的用戶端機器,則 wanboot-cgi 程式會使用 /etc/netboot 目錄中的下列檔案。
wanboot.conf
system.conf
keystore
truststore
wanboot-cgi 程式會將資料與檔案從 WAN Boot 伺服器傳輸至用戶端。必須確保該程式位於 WAN Boot 伺服器上可供用戶端存取的目錄中。將該程式儲存在 WAN Boot 伺服器上的 cgi-bin 目錄中,用戶端便可以對它進行存取。您可能需要將 Web 伺服器軟體配置為可以將 wanboot-cgi 程式做為 CGI 程式使用。請參閱您的 Web 伺服器說明文件,以取得有關 CGI 程式需求的資訊。
如果要增加 WAN Boot 安裝的安全性,您可以使用數位憑證來啟用伺服器與用戶端驗證。WAN Boot 可以在線上交易期間使用數位憑證建立伺服器或用戶端的身份識別。數位憑證是由憑證管理中心 (CA) 簽發。這些憑證包含序號、有效日期、憑證持有者的公開金鑰副本以及憑證管理中心的數位簽名。
如果需要在安裝期間進行伺服器驗證,或同時進行伺服器與用戶端驗證,則必須在伺服器上安裝數位憑證。使用數位憑證時,請遵循下列準則:
如果要使用數位憑證,則該數位憑證必須被格式化為公開金鑰加密標準 #12 (PKCS#12) 檔案的一部分。
如果建立自己的憑證,則必須將該憑證建立為 PKCS#12 檔案。
如果從協力廠商憑證管理中心取得憑證,則要求憑證為 PKCS#12 格式。
如需有關如何在 WAN Boot 安裝期間使用 PKCS#12 憑證的詳細指示,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。