Solaris 10 10/09 安裝指南:網路安裝

WAN Boot 運作方式 (簡介)

WAN Boot 結合使用伺服器、配置檔案、共用閘道介面 (CGI) 程式以及安裝檔案來安裝基於 SPARC 的遠端用戶端。本節說明 WAN Boot 安裝中的一般事件序列。

WAN Boot 安裝中的事件序列

圖 10–1 顯示了 WAN Boot 安裝中的基本事件序列。在此圖中,基於 SPARC 的用戶端透過 WAN 從 Web 伺服器和安裝伺服器擷取配置資料與安裝檔案。

圖 10–1 WAN Boot 安裝中的事件序列

上下文將描述該圖形。

  1. 您可以使用下列方法之一啟動用戶端:

    • 透過在 Open Boot PROM (OBP) 中設定網路介面變數從網路啟動。

    • 使用 DHCP 選項從網路啟動。

    • 從本機 CD-ROM 啟動。

  2. 用戶端 OBP 從下列來源之一取得配置資訊:

    • 使用者在指令行鍵入的啟動引數值

    • DHCP 伺服器 (如果網路使用 DHCP)

  3. 用戶端 OBP 要求使用 WAN Boot 第二層啟動程式 (wanboot)。

    用戶端 OBP 會從下列來源下載 wanboot 程式:

    • 使用超文件傳輸協定 (HTTP),從名為 WAN Boot 伺服器的特殊 Web 伺服器中下載

    • 從本機 CD-ROM (圖中未顯示) 下載

  4. wanboot 程式要求使用 WAN Boot 伺服器中的用戶端配置資訊。

  5. wanboot 程式從 WAN Boot 伺服器下載由 wanboot-cgi 程式傳輸的配置檔案。配置檔案做為 WAN Boot 檔案系統傳輸至用戶端。

  6. wanboot 程式要求從 WAN Boot 伺服器下載 WAN Boot miniroot。

  7. wanboot 程式使用 HTTP 或安全 HTTP 從 WAN Boot 伺服器下載 WAN Boot miniroot。

  8. wanboot 程式從 WAN Boot miniroot 載入 UNIX 核心程式並執行。

  9. UNIX 核心程式尋找並裝載供 Solaris 安裝程式使用的 WAN Boot 檔案系統。

  10. 安裝程式要求從安裝伺服器下載 Solaris Flash 歸檔與自訂 JumpStart 檔案。

    安裝程式透過 HTTP 或 HTTPS 連接,下載歸檔與自訂 JumpStart 檔案。

  11. 安裝程式執行自訂 JumpStart 安裝,以於用戶端上安裝 Solaris Flash 歸檔。

在 WAN Boot 安裝期間保護資料

WAN Boot 安裝方法可讓您在安裝期間使用雜湊金鑰、加密金鑰以及數位憑證保護系統資料。本節簡要說明 WAN Boot 安裝方法支援的各種資料保護方法。

使用雜湊金鑰檢查資料完整性

若要保護從 WAN Boot 伺服器傳輸至用戶端的資料,您可以產生訊息認證雜湊碼 (HMAC) 金鑰。同時在 WAN Boot 伺服器與用戶端中安裝此雜湊金鑰。WAN Boot 伺服器使用此金鑰簽發要傳輸至用戶端的資料。然後用戶端會使用此金鑰來確認 WAN Boot 伺服器所傳輸資料的完整性。在用戶端上安裝完雜湊金鑰之後,該用戶端便會使用此金鑰執行以後的 WAN Boot 安裝。

如需有關如何使用雜湊金鑰的指示,請參閱(可選擇) 建立雜湊金鑰與加密金鑰

使用加密金鑰加密資料

WAN Boot 安裝方法 可讓您加密從 WAN Boot 伺服器傳輸至用戶端的資料。您可以使用 WAN Boot 公用程式建立符合三重資料加密標準 (3DES) 或進階加密標準 (AES) 的加密金鑰。然後,可將此金鑰同時提供給 WAN Boot 伺服器與用戶端。WAN Boot 使用此加密金鑰對從 WAN Boot 伺服器傳輸至用戶端的資料進行加密。用戶端可以稍後使用此金鑰解密在安裝期間傳輸的加密配置檔案與安全檔案。

一旦在用戶端上安裝了加密金鑰之後,該用戶端便會使用此金鑰進行以後的 WAN Boot 安裝。

您的網站可能不允許使用加密金鑰。若要確定您的網站是否允許使用加密,請諮詢網站安全性管理員。如果您的網站允許使用加密,請向安全性管理員諮詢您應該使用哪種類型的加密金鑰 (3DES 還是 AES)。

如需有關如何使用加密金鑰的指示,請參閱(可選擇) 建立雜湊金鑰與加密金鑰

使用 HTTPS 保護資料

WAN Boot 支援藉由安全通訊端層使用 HTTP (HTTPS),以便在 WAN Boot 伺服器與用戶端之間傳輸資料。透過使用 HTTPS,您可以要求伺服器或同時要求伺服器與用戶端在安裝期間進行自我驗證。HTTPS 也會在安裝期間加密從伺服器傳輸至用戶端的資料。

HTTPS 會使用數位憑證來認證透過網路交換資料的系統。數位憑證是一個在線上通訊期間,將伺服器或用戶端等系統識別為可信任系統的檔案。您可以從外部憑證管理中心要求一個數位憑證,或建立自己的憑證與憑證管理中心。

若要讓用戶端信任伺服器並接受來自伺服器的資料,就必須在伺服器上安裝數位憑證。然後,請指示用戶端信任此憑證。您也可以通過向用戶端提供數位憑證來讓它向伺服器進行自我驗證。然後,當用戶端在安裝期間提供憑證時,您便可指示伺服器接受憑證的簽名者。

若要在安裝期間使用數位憑證,則必須將 Web 伺服器配置為使用 HTTPS。請參閱您的 Web 伺服器說明文件,以取得有關如何使用 HTTPS 的資訊。

如需於 WAN Boot 安裝期間使用數位憑證需求的相關資訊,請參閱數位憑證需求。如需有關如何在 WAN Boot 安裝中使用數位憑證的指示,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證