Dieser Teil beschreibt, wie Sie ein System mithilfe der WAN-Boot-Installation über ein WAN (Wide Area Network) installieren.
Dieses Kapitel bietet eine Übersicht über das WAN-Boot-Installationsverfahren. Er umfasst die folgenden Themen:
Das WAN-Boot-Installationsverfahren ermöglicht es, Software unter Verwendung von HTTP über ein WAN (Wide Area Network) zu booten und zu installieren. Mit WAN-Boot können Sie Solaris über große, öffentliche Netzwerke, deren Infrastruktur möglicherweise nicht vertrauenswürdig ist, auf SPARC-Systemen installieren. Die Sicherheitsfunktionen von WAN-Boot schützen die Vertraulichkeit der Daten und stellen die Integrität des Installationsabbilds sicher.
Mit der WAN-Boot-Installationsmethode können Sie ein verschlüsseltes Solaris Flash-Archiv über ein öffentliches Netzwerk an einen entfernten SPARC-Client übertragen. Die WAN-Boot-Programme installieren das Clientsystem dann, indem sie eine benutzerdefinierte JumpStart-Installation durchführen. Die Integrität der Installation lässt sich mit privaten Schlüsseln zur Authentifizierung und Verschlüsselung der Daten schützen. Sie können die Installationsdaten und -dateien auch über eine sichere HTTP-Verbindung senden. Hierfür müssen Sie auf Ihren Systemen die Verwendung von digitalen Zertifikaten konfigurieren.
Bei einer WAN-Boot-Installation laden Sie die folgenden Informationen über eine HTTP- oder sichere HTTP-Verbindung von einem Webserver herunter und installieren ein SPARC-System.
wanboot-Programm – Das wanboot-Programm ist das sekundäre Boot-Programm, das die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die Installationsdateien lädt. Das wanboot-Programm führt ähnliche Vorgänge wie die Boot-Unterprogramme ufsboot oder inetboot durch.
WAN-Boot-Dateisystem – WAN-Boot stützt sich bei der Konfiguration des Clients und zum Abrufen der auf dem Clientsystem zu installierenden Daten auf verschiedene Dateien. Diese Dateien befinden sich im Verzeichnis /etc/netboot des Webservers. Das Programm wanboot-cgi überträgt diese Dateien in Form eines Dateisystems, dem WAN-Boot-Dateisystem, an den Client.
WAN-Boot-Miniroot – Die WAN-Boot-Miniroot ist eine auf die WAN-Boot-Installation ausgerichtete Variante der Solaris-Miniroot. Wie die Solaris-Miniroot enthält die WAN-Boot-Miniroot einen Kernel und gerade so viel Software, wie zur Installation von Solaris erforderlich ist. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot.
Benutzerdefinierte JumpStart-Konfigurationsdateien – Für die Installation des Systems überträgt WAN-Boot die Dateien sysidcfg, rules.ok sowie Profildateien an den Client. WAN-Boot führt dann auf Grundlage dieser Dateien eine benutzerdefinierte JumpStart-Installation auf dem Clientsystem durch.
Solaris Flash-Archiv – Ein Solaris Flash-Archiv ist eine Sammlung von Dateien, die von einem Master-System kopiert wurden. Mit einem solchen Archiv können Sie Clientsysteme installieren. WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Clientsystem. Nach der Installation eines Archivs auf einem Clientsystem verfügt dieses System über genau dieselbe Konfiguration wie das Master-System.
Der Befehl flarcreate übt keinerlei Größenbeschränkungen mehr auf einzelne Dateien aus. Sie können ein Solaris Flash-Archiv erstellen, dass einzelne Dateien enthalten kann, die größer als 4 GB sind.
Weitere Informationen finden Sie unter Erstellen eines Archivs, das große Dateien enthält in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Dann installieren Sie das Archiv mit dem benutzerdefinierten JumpStart-Verfahren auf dem Client.
Die oben aufgeführten Daten können Sie bei der Übertragung durch Schlüssel und digitale Zertifikate schützen.
In Wie funktioniert WAN-Boot (Übersicht) ist die Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse ausführlicher dargestellt.
Das WAN-Boot-Installationsverfahren ermöglicht es, an entfernten Standorten SPARC-Systeme zu installieren. Es bietet sich an, WAN-Boot für die Installation von entfernten Servern oder Clients einzusetzen, die nur über ein öffentliches Netzwerk zugänglich sind.
Für eine Installation von Systemen in Ihrem LAN (Local Area Network) erfordert das WAN-Boot-Installationsverfahren mehr Konfigurations- und Administrationsaufwand als nötig. Informationen, wie Sie Systeme über ein LAN installieren, finden Sie in Kapitel 4Installieren über das Netzwerk (Übersicht).
Bei der Installation eines entfernten SPARC-Clients mit WAN-Boot kommt eine Kombination von Servern, Konfigurationsdateien, CGI-Programmen (Common Gateway Interface) und Installationsdateien zum Einsatz. Dieser Abschnitt zeigt die allgemeine Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse.
Abbildung 10–1 zeigt die grundlegende Reihenfolge der Ereignisse bei einer WAN-Boot-Installation. In dieser Abbildung ruft ein SPARC-Client über ein WAN Konfigurationsdaten und Installationsdateien von einem Webserver und einem Installationsserver ab.
Sie booten den Client auf eine der folgenden Arten:
Booten aus dem Netzwerk durch Setzen von Netzwerkschnittstellen-Variablen im Open Boot PROM (OBP).
Booten aus dem Netzwerk mit der DHCP-Option.
Booten von einer lokalen CD-ROM.
Das Client-OBP erhält Konfigurationsinformationen aus einer dieser Quellen:
Von Boot-Argumentwerten, die vom Benutzer in die Befehlszeile eingegeben werden.
Vom DHCP-Server, sofern im Netzwerk DHCP verwendet wird.
Das Client-OBP fordert das sekundäre Boot-Programm wanboot an.
Das Client-OBP lädt das wanboot-Programm von einer der folgenden Quellen herunter:
Von einem speziellen Webserver, dem WAN-Boot-Server, unter Verwendung von HTTP.
Von einer lokalen CD-ROM (nicht abgebildet).
Das wanboot-Programm fordert die Client-Konfigurationsinformationen vom WAN-Boot-Server an.
Das wanboot-Programm lädt Konfigurationsdateien, die vom Programm wanboot-cgi übertragen werden, vom WAN-Boot-Server herunter. Die Konfigurationsdateien werden als WAN-Boot-Dateisystem an den Client übertragen.
Das wanboot-Programm fordert die WAN-Boot-Miniroot vom WAN-Boot-Server an.
Das wanboot-Programm lädt die WAN-Boot-Miniroot per HTTP oder sicheres HTTP vom WAN-Boot-Server herunter.
Das wanboot-Programm lädt den UNIX-Kernel aus der WAN-Boot-Miniroot und führt ihn aus.
Der UNIX-Kernel sucht das WAN-Boot-Dateisystem und hängt es zur Verwendung durch das Solaris-Installationsprogramm ein.
Das Installationsprogramm fordert ein Solaris Flash-Archiv und JumpStart-Dateien von einem Installationsserver an.
Das Installationsprogramm lädt das Archiv und die JumpStart-Dateien über eine HTTP- oder HTTPS-Verbindung herunter.
Das Installationsprogramm installiert mit dem benutzerdefinierten JumpStart-Verfahren das Solaris Flash-Archiv auf dem Client.
Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von Hashing-Schlüsseln und digitalen Zertifikaten zum Schutz der Systemdaten während der Installation. In diesem Abschnitt werden die vom WAN-Boot-Installationsverfahren unterstützten Datenschutzmethoden kurz dargestellt.
Zum Schutz der Daten, die von einem WAN-Boot-Server an den Client übertragen werden, können Sie einen sog. HMAC-Schlüssel (Hashed Message Authentication Code) erstellen. Diesen Hashing-Schlüssel installieren Sie sowohl auf dem WAN-Boot-Server als auch auf dem Client. Der WAN-Boot-Server signiert mit diesem Schlüssel die an den Client zu übertragenden Daten. Der Client verwendet den Schlüssel dann zum Überprüfen der Integrität der vom WAN-Boot-Server übertragenen Daten. Nach der Installation eines Hashing-Schlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.
Anweisungen zur Verwendung eines Hashing-Schlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
Mit WAN-Boot-Installationsverfahren können Sie Daten verschlüsseln, die vom WAN-Boot-Server an den Client gesendet werden. Mit den WAN-Boot-Dienstprogrammen können Sie eine 3DES(Triple Data Encryption Standard)- oder AES(Advanced Encryption Standard)-Verschlüsselung, den Chiffrierschlüssel, generieren. Diesen Schlüssel stellen Sie dann sowohl dem WAN-Boot-Server als auch dem Client zur Verfügung. Mit diesem Chiffrierschlüssel verschlüsselt WAN-Boot die vom WAN-Boot-Server an den Client übertragenen Daten. Der Client verwendet diesen Schlüssel dann zum Entschlüsseln der Konfigurations- und Sicherheitsdateien, die während der Installation übertragen werden.
Nach der Installation eines Chiffrierschlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.
Der Einsatz einer Verschlüsselung ist jedoch nicht an allen Standorten zulässig. Um festzustellen, ob die Verschlüsselung an Ihrem Standort möglich ist, wenden Sie sich bitte an Ihren Sicherheitsadministrator. Ist die Verschlüsselung an Ihrem Standort zulässig, fragen Sie Ihren Sicherheitsadministrator, ob Sie mit einer 3DES- oder AES-Verschlüsselung arbeiten sollen.
Anweisungen zur Verwendung eines Chiffrierschlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
WAN-Boot unterstützt den Einsatz von HTTPS (HTTP over Secure Sockets Layer) für die Übertragung von Daten zwischen WAN-Boot-Server und Client. Mit HTTPS können Sie bewirken, dass sich entweder nur der Server oder sowohl der Server als auch der Client während der Installation ausweisen müssen. HTTPS verschlüsselt außerdem die Daten, die bei der Installation vom Server an den Client übertragen werden.
Bei HTTPS kommen digitale Zertifikate zur Authentifizierung von Systemen zum Einsatz, die über das Netzwerk Daten austauschen. Ein digitales Zertifikat ist eine Datei, die ein Server- oder ein Clientsystem als vertrauenswürdigen Teilnehmer der Online-Kommunikation ausweist. Digitale Zertifikate können von externen Zertifizierungsstellen (CAs) angefordert oder durch Erzeugen einer eigenen Zertifizierungsstelle selbst generiert werden.
Damit der Client den Server als vertrauenswürdig akzeptiert und Daten von ihm annimmt, müssen Sie ein digitales Zertifikat auf dem Server installieren. Dann weisen Sie den Client an, dieses Zertifikat zu akzeptieren. Sie können auch festlegen, dass sich der Client gegenüber dem Server ausweist. Dafür stellen Sie dem Client ein digitales Zertifikat zur Verfügung. Anschließend weisen Sie den Server an, den Signierer des Zertifikats zu akzeptieren, wenn der Client das Zertifikat bei der Installation vorlegt.
Wenn Sie digitale Zertifikate bei der Installation einsetzen möchten, müssen Sie den Webserver für die Verwendung von HTTPS konfigurieren. Informationen über die Arbeit mit HTTPS entnehmen Sie bitte der Dokumentation Ihres Webservers.
Die Voraussetzungen für die Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in Voraussetzungen für digitale Zertifikate. Anweisungen zur Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.
WAN-Boot unterstützt verschiedene Sicherheitsstufen. Sie können die von WAN-Boot unterstützten Sicherheitsleistungsmerkmale im Hinblick auf die Anforderungen in Ihrem Netzwerk kombinieren. Eine Konfiguration mit einer höheren Sicherheit erfordert zwar mehr Administrationsaufwand, bedeutet aber auch einen besseren Schutz für Ihre Systemdaten. Für wichtigere Systeme oder Systeme, die über ein öffentliches Netzwerk installiert werden sollen, eignet sich die Konfiguration unter Sichere WAN-Boot-Installationskonfiguration. Für etwas weniger wichtige Systeme oder Systeme in halb-privaten Netzwerken könnte die in Unsichere WAN-Boot-Installationskonfiguration beschriebene Konfiguration eine gute Lösung sein.
In diesem Abschnitt werden die Konfigurationen für unterschiedliche Sicherheitsstufen bei der WAN-Boot-Installation kurz dargestellt. Darüber hinaus werden die in den verschiedenen Konfigurationen angewendeten Sicherheitsmechanismen beschrieben.
Diese Konfiguration schützt die Integrität der zwischen Server und Client übertragenen Daten und trägt zur Geheimhaltung des Übertragungsinhalts bei. In dieser Konfiguration kommen eine HTTPS-Verbindung und entweder der 3DES- oder der AES-Algorithmus zur Verschlüsselung der Client-Konfigurationsdateien zum Einsatz. Sie sieht auch vor, dass sich der Server bei der Installation gegenüber dem Client ausweist. Für eine sichere WAN-Boot-Installation gelten bezüglich der Sicherheitsfunktionen folgende Voraussetzungen:
HTTPS auf WAN-Boot-Server und Installationsserver aktiviert
HMAC SHA1-Hashing-Schlüssel auf WAN-Boot-Server und Client
3DES- oder AES-Verschlüsselung für WAN-Boot-Server und Client
Digitales Zertifikat einer Zertifizierungsstelle für WAN-Boot-Server
Wenn Sie zusätzlich festlegen möchten, dass sich auch der Client bei der Installation ausweisen muss, sind auch diese Sicherheitsfunktionen erforderlich:
Privater Schlüssel für den WAN-Boot-Server
Digitales Zertifikat für den Client
Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 12–1.
Diese Sicherheitskonfiguration bedeutet zwar den geringsten Administrationsaufwand, aber auch die geringste Sicherheit bei der Datenübertragung zwischen Webserver und Client. Sie müssen weder einen Hashing-Schlüssel noch eine Verschlüsselung oder digitale Zertifikate generieren. Auch muss der Webserver nicht für die Verwendung von HTTPS konfiguriert sein. Die Installationsdaten und -dateien werden aber über eine HTTP-Verbindung gesendet, die Ihre Installation gegenüber Ausspähversuchen im Netzwerk verwundbar macht.
Wenn Sie möchten, dass der Client die Integrität der übertragenen Daten überprüft, können Sie diese Konfiguration durch den Einsatz eines HMAC SHA1-Hashing-Schlüssels ergänzen. Beachten Sie aber bitte, dass das Solaris Flash-Archiv durch einen Hashing-Schlüssel nicht geschützt wird. Das Archiv wird bei der Installation schutzlos zwischen dem Server und dem Client übertragen.
Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 12–2.
In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk für eine WAN-Boot-Installation vorbereiten. Er umfasst die folgenden Themen:
In diesem Abschnitt werden die Systemvoraussetzungen für die Installation von WAN-Boot erläutert.
Tabelle 11–1 Systemvoraussetzungen für WAN-Boot-Installationen
System und Beschreibung |
Anforderungen |
---|---|
WAN-Boot-Server – Der WAN-Boot-Server ist ein Webserver, der das wanboot-Programm, die Konfigurations- und Sicherheitsdateien und die WAN-Boot-Miniroot bereitstellt. |
|
Installationsserver – Der Installationsserver stellt das Solaris Flash-Archiv und die JumpStart-Dateien bereit, die für die Installation des Clients benötigt werden. |
Sind Installationsserver und WAN-Boot-Server zwei unterschiedliche Systeme, muss der Installationsserver diese zusätzlichen Voraussetzungen erfüllen:
|
Clientsystem – Das entfernte System, das über ein WAN installiert werden soll |
|
(Optional) DHCP-Server – Für die Bereitstellung der Client-Konfigurationsinformationen können Sie einen DHCP-Server einsetzen. |
Wenn Sie mit einem SunOS-DHCP-Server arbeiten, müssen Sie folgende Schritte durchführen:
Befindet sich der DHCP-Server in einem anderen Teilnetz als der Client, müssen Sie einen BOOTP-Relay-Agenten konfigurieren. Näheres zur Konfiguration eines BOOTP-Relay-Agenten finden Sie in Kapitel 14, Konfiguration des DHCP-Services (Aufgaben) in Systemverwaltungshandbuch: IP Services. |
(optional) Protokollserver– Per Voreinstellung werden alle während einer WAN-Installation auftretenden Protokollmeldungen für das Booten und die Installation auf der Client-Konsole angezeigt. Um diese Meldungen auf einem anderen System anzeigen zu lassen, geben Sie ein System an, das als Protokollserver dienen soll. |
Muss als Webserver konfiguriert sein. Hinweis – Wenn Sie bei der Installation mit HTTPS arbeiten, müssen Protokollserver und WAN-Boot-Server identisch sein. |
(Optional) Proxy-Server – Sie können das Leistungsmerkmal WAN-Boot so konfigurieren, dass das Herunterladen der Installationsdaten und -dateien über einen HTTP-Proxy erfolgt. |
Wenn die Installation per HTTPS vorgenommen wird, muss der Proxy-Server zum Tunneln von HTTPS konfiguriert sein. |
Die Webserver-Software auf dem WAN-Boot- und dem Installationsserver muss die folgenden Voraussetzungen erfüllen:
Betriebssystemvoraussetzungen – WAN-Boot bietet ein CGI(Common Gateway Interface)-Programm (wanboot-cgi), das Daten und Dateien in das vom Clientsystem erwartete Format konvertiert. Für eine WAN-Boot-Installation mithilfe dieser Skripten muss die Webserver-Software unter Solaris 9 12/03 oder einer kompatiblen Version ausgeführt werden.
Maximale Dateigröße – Die Größe der über die HTTP-Verbindung übertragenen Dateien ist möglicherweise durch Ihre Webserver-Software begrenzt. Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.
Der Befehl flarcreate übt keinerlei Größenbeschränkungen mehr auf einzelne Dateien aus. Sie können ein Solaris Flash-Archiv erstellen, dass einzelne Dateien enthalten kann, die größer als 4 GB sind.
Weitere Informationen finden Sie unter Erstellen eines Archivs, das große Dateien enthält in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
SSL-Unterstützung – Wenn Sie bei der WAN-Boot-Installation mit HTTPS arbeiten möchten, muss die Webserver-Software SSL Version 3 unterstützen.
Sie können die Konfiguration der von WAN-Boot benötigten Server an die Anforderungen in Ihrem Netzwerk anpassen. Die erforderlichen Server können entweder auf einem System oder auf verschiedenen Systemen eingerichtet werden.
Einzelner Server – Wenn Sie die WAN-Boot-Daten und -Dateien zentral auf einem System verwalten möchten, können Sie alle Server auf demselben System einrichten. Sie können alle Server auf einem System verwalten und müssen nur ein System als Webserver konfigurieren. Unter Umständen unterstützt ein einzelner Server aber das hohe Datenaufkommen nicht, das bei zahlreichen gleichzeitig ablaufenden WAN-Boot-Installationen entstehen würde.
Mehrere Server – Für den Fall, dass Sie die Installationsdaten und -dateien an verschiedenen Stellen im Netzwerk verwalten möchten, besteht die Möglichkeit, die entsprechenden Server auf unterschiedlichen Systemen einzurichten. Sie können einen zentralen WAN-Boot-Server einrichten und mehrere Installationsserver für die Verwaltung von Solaris Flash-Archiven an verschiedenen Stellen im Netzwerk konfigurieren. Wenn Sie Installations- und Protokollserver auf unabhängigen Systemen einrichten, müssen Sie diese Systeme als Webserver konfigurieren.
Das Programm wanboot-cgi überträgt bei der WAN-Boot-Installation die folgenden Dateien:
wanboot-Programm
WAN-Boot-Miniroot
Dateien für die benutzerdefinierte JumpStart-Installation
Solaris Flash-Archiv
Damit das Programm wanboot-cgi diese Dateien übertragen kann, müssen Sie sie in einem für die Webserver-Software zugänglichen Verzeichnis speichern. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem Webserver abzulegen.
Das Dokument-Root-Verzeichnis (auch primäres Dokumentverzeichnis genannt) ist das Verzeichnis auf dem Webserver, in dem Dateien gespeichert werden sollen, die für Client abrufbar sind. Dieses Verzeichnis können Sie mit der Webserver-Software benennen und konfigurieren. Genauere Informationen über die Einrichtung des Dokument-Root-Verzeichnisses auf dem Webserver entnehmen Sie bitte der Dokumentation Ihres Webservers.
Es bietet sich an, für die verschiedenen Installations- und Konfigurationsdateien eigene Unterverzeichnisse unter dem Dokument-Root-Verzeichnis anzulegen. So könnten Sie beispielsweise ein spezifisches Unterverzeichnis für jede zu installierende Client-Gruppe erzeugen. Wenn Sie beabsichtigen, im Netzwerk unterschiedliche Versionen von Solaris zu installieren, können Sie auch ein Unterverzeichnis pro Version erzeugen.
Abbildung 11–1 zeigt eine allgemeine Beispielstruktur für ein Dokument-Root-Verzeichnis. In diesem Beispiel befinden sich WAN-Boot-Server und Installationsserver auf demselben System. Auf dem Server wird die Webserver-Software Apache ausgeführt.
Das Dokument-Verzeichnis in diesem Beispiel weist die folgende Struktur auf:
Das Verzeichnis /opt/apache/htdocs ist das Dokument-Root-Verzeichnis.
Das WAN-Boot-Miniroot-Verzeichnis (miniroot) enthält die WAN-Boot-Miniroot.
Das Solaris Flash-Verzeichnis (flash) enthält die für die Installation des Clients erforderlichen JumpStart-Dateien und das Unterverzeichnis archives. Das Verzeichnis archives enthält das aktuelle Solaris-Release Flash-Archiv.
Sind WAN-Boot-Server und Installationsserver unterschiedliche Systeme, sollten Sie das Verzeichnis flash auf dem Installationsserver erzeugen. Vergewissern Sie sich, dass diese Dateien und Verzeichnisse für den WAN-Boot-Server zugänglich sind.
Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Anweisungen zum Erzeugen und Speichern dieser Installationsdateien finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Das Verzeichnis /etc/netboot enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für eine WAN-Boot-Installation erforderlich sind. In diesem Abschnitt sind die Dateien und Verzeichnisse dargestellt, die Sie im Verzeichnis /etc/netboot erzeugen können, um Ihre WAN-Boot-Installation individuell anzupassen.
Während der Installation sucht das Programm wanboot-cgi im Verzeichnis /etc/netboot auf dem WAN-Boot-Server nach den Client-Informationen. Das Programm wanboot-cgi konvertiert diese Informationen in das WAN-Boot-Dateisystem und überträgt dieses dann an den Client. Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.
Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die gemeinsam genutzten Dateien im Verzeichnis /etc/netboot.
Netzwerk-spezifische Konfiguration – Wenn nur die Computer in einem bestimmten Teilnetz Konfigurationsinformationen gemeinsam nutzen sollen, speichern Sie die gemeinsam zu nutzenden Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/net-ip |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients. Wenn Sie die Konfigurationsdateien beispielsweise an alle Systeme im Teilnetz mit der IP-Adresse 192.168.255.0 freigeben möchten, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0. Speichern Sie dann die Konfigurationsdateien in diesem Verzeichnis.
Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/net-ip/client-ID |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID. Wenn zum Beispiel ein System mit der Client-ID 010003BA152A42 im Teilnetz 192.168.255.0 systemspezifische Konfigurationsdateien verwenden soll, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0/010003BA152A42. Speichern Sie dann die entsprechenden Dateien in diesem Verzeichnis.
Zum Angeben der Konfigurations- und Sicherheitsinformationen erstellen Sie die folgenden Dateien und speichern sie im Verzeichnis /etc/netboot.
wanboot.conf – Diese Datei enthält die Client-Konfiguration für eine WAN-Boot-Installation.
Systemkonfigurationsdatei ( system.conf) – Diese Systemkonfigurationsdatei enthält den Ort der Client-Datei sysidcfg und der benutzerdefinierten JumpStart-Dateien.
keystore – Diese Datei enthält den HMAC SHA1-Hashing-Schlüssel, die 3DES- bzw. AES-Verschlüsselung und den privaten SSL-Schlüssel des Clients.
truststore – Diese Datei enthält die digitalen Zertifikate der vom Client zu akzeptierenden Zertifikat-Signaturstellen. Diese vertrauenswürdigen Zertifikate weisen den Client an, den Server während der Installation als vertrauenswürdig zu akzeptieren.
certstore – Diese Datei enthält das digitale Zertifikat des Clients.
Die Datei certstore muss im Verzeichnis der Client-ID gespeichert sein. Weitere Informationen über Unterverzeichnisse von /etc/netboot finden Sie in Anpassung des Aktionsbereichs der WAN-Boot-Installation.
Ausführliche Anweisungen zum Erstellen und Speichern dieser Dateien stehen Ihnen in folgenden Abschnitten zur Verfügung:
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel
(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung
Es besteht die Möglichkeit, dass Sie bei der Installation von Clients in Ihrem Netzwerk dieselben Sicherheits- und Konfigurationsdateien für mehrere Clients oder beispielsweise alle Clients eines Teilnetzes verwenden. Zur Freigabe dieser Dateien können Sie die Konfigurationsinformationen in den Verzeichnissen /etc/netboot/Netz-IP/Client-ID, /etc/netboot/Netz-IP und /etc/netboot bereitstellen. Das Programm wanboot-cgi durchsucht diese Verzeichnisse nach den Konfigurationsinformationen, die am besten auf den jeweiligen Client zutreffen, und verwendet diese Informationen für die Installation.
Das Programm wanboot-cgi sucht in dieser Reihenfolge nach Client-Informationen:
/etc/netboot/Netz-IP/Client-ID – Zuerst sucht das Programm wanboot-cgi nach Client-spezifischen Konfigurationsinformationen. Wenn das Verzeichnis /etc/netboot/Netz-IP/Client-ID alle Client-Konfigurationsinformationen enthält, sucht das Programm wanboot-cgi an keiner weiteren Stelle im Verzeichnis /etc/netboot nach Konfigurationsinformationen.
/etc/netboot/Netz-IP – Wenn nicht alle erforderlichen Informationen im Verzeichnis /etc/netboot/Netz-IP/Client-ID gefunden werden können, sucht das Programm wanboot-cgi anschließend im Verzeichnis /etc/netboot/Netz-IP nach Teilnetz-Konfigurationsinformationen.
/etc/netboot – Wenn die noch ausstehenden Angaben nicht im Verzeichnis /etc/netboot/Netz-IP zu finden sind, sucht das Programm wanboot-cgi dann im Verzeichnis /etc/netboot nach globalen Konfigurationsinformationen.
Abbildung 11–2 zeigt, wie Sie das Verzeichnis /etc/netboot einrichten können, um Ihre WAN-Boot-Installationen anzupassen.
Das /etc/netboot-Verzeichnislayout in Abbildung 11–2 ermöglicht Ihnen, die folgenden WAN-Boot-Installationen durchzuführen.
Wenn Sie Client 010003BA152A42 installieren, verwendet das Programm wanboot-cgi diese Dateien im Verzeichnis /etc/netboot/192.168.255.0/010003BA152A42:
system.conf
keystore
truststore
certstore
Anschließend verwendet das Programm wanboot-cgi die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.255.0.
Wenn Sie einen Client im Teilnetz 192.168.255.0 installieren, verwendet das Programm wanboot-cgi die Dateien wanboot.conf, keystore und truststore im Verzeichnis /etc/netboot/192.168.255.0. Anschließend verwendet das Programm wanboot-cgi die Datei system.conf im Verzeichnis /etc/netboot.
Wenn Sie einen Client installieren, der sich außerhalb des Teilnetzes 192.168.255.0 befindet, verwendet das Programm wanboot-cgi die folgenden Dateien im Verzeichnis /etc/netboot.
wanboot.conf
system.conf
keystore
truststore
Das Programm wanboot-cgi überträgt die Daten und Dateien vom WAN-Boot-Server an den Client. Vergewissern Sie sich, dass sich das Programm in einem für den Client zugänglichen Verzeichnis auf dem WAN-Boot-Server befindet. Eine Möglichkeit, das Programm für den Client zugänglich zu machen, besteht darin, es im Verzeichnis cgi-bin des WAN-Boot-Servers zu speichern. Unter Umständen müssen Sie in der Konfiguration Ihrer Webserver-Software festlegen, dass das Programm wanboot-cgi als CGI-Programm verwendet wird. Informationen über die Voraussetzungen für CGI-Programme entnehmen Sie bitte der Dokumentation Ihres Webservers.
Möchten Sie die WAN-Boot-Installation sicherer gestalten, können Sie mithilfe von digitalen Zertifikaten eine Server- und eine Client-Authentifizierung in den Vorgang einbinden. Auf der Grundlage von digitalen Zertifikaten kann WAN-Boot bei Online-Transaktionen die Identität des Servers oder des Clients feststellen. Digitale Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Diese Zertifikate enthalten eine Seriennummer, Ablaufdaten, eine Kopie des öffentlichen Schlüssels des Zertifikatinhabers sowie die digitale Signatur der Zertifizierungsstelle.
Wenn Sie möchten, dass sich der Server oder sowohl der Server als auch der Client bei der Installation ausweisen, müssen Sie auf dem Server digitale Zertifikate installieren. Befolgen Sie beim Einsatz von digitalen Zertifikaten bitte diese Richtlinien:
Bereits vorhandene digitale Zertifikate müssen als Teil einer PKCS#12-Datei (Public-Key Cryptography Standards #12) formatiert sein.
Wenn Sie eigene Zertifikate erzeugen möchten, müssen Sie sie als PKCS#12-Dateien erstellen.
Wenn Sie Ihre Zertifikate von externen Zertifizierungsstellen erhalten, fordern Sie sie im PKCS#12-Format an.
Ausführliche Anweisungen zur Verwendung von PKCS#12-Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.
Es stehen zwar verschiedene Sicherheitsfunktionen für WAN-Boot zur Verfügung, die folgenden potenziellen Sicherheitsrisiken bleiben jedoch trotzdem bestehen:
Denial of Service (DoS) – Ein DoS-Angriff kann in den verschiedensten Formen erfolgen und hat immer das Ziel, Benutzer am Zugriff auf einen bestimmten Dienst zu hindern. Ein solcher DoS-Angriff kann entweder bewirken, dass ein Netzwerk mit großen Datenmengen überflutet wird oder dass limitierte Ressourcen aggressiv genutzt werden. Andere DoS-Angriffe manipulieren die zwischen den Systemen übertragenen Daten. Das WAN-Boot-Installationsverfahren bietet Servern oder Clients keinen Schutz vor DoS-Angriffen.
Beschädigte Binärdateien auf Servern – Das WAN-Boot-Installationsverfahren führt vor Beginn der Installation keine Integritätsprüfung der WAN-Boot-Miniroot oder des Solaris Flash-Archivs durch. Vergleichen Sie deshalb vor der Installation die Solaris-Binärdateien mit der Solaris-Fingerabdruckdatenbank unter http://sunsolve.sun.com.
Datenschutz für Chiffrier- und Hashing-Schlüssel – Wenn Sie WAN-Boot mit Verschlüsselung (Chiffrierschlüsseln) oder einem Hashing-Schlüssel einsetzen, müssen Sie den Schlüsselwert bei der Installation in die Befehlszeile eingeben. Ergreifen Sie die für Ihr Netzwerk erforderlichen Sicherheitsmaßnahmen zur Geheimhaltung dieser Schlüsselwerte.
Beschädigung des Netzwerk-Naming Service – Wenn in Ihrem Netzwerk ein Naming Service verwendet wird, überprüfen Sie die Integrität der Namenserver vor der Installation von WAN-Boot.
Um Ihr Netzwerk für eine WAN-Boot-Installation zu konfigurieren, müssen Sie die verschiedensten Informationen zusammenstellen. Im Rahmen der Vorbereitung einer Installation über das WAN sollten Sie sich diese Angaben notieren.
Zum Aufzeichnen der WAN-Boot-Installationsinformationen für Ihr Netzwerk stehen Ihnen die folgenden Arbeitsblätter zur Verfügung:
Tabelle 11–2 Arbeitsblatt für die Zusammenstellung von Server-InformationenTabelle 11–3 Arbeitsblatt für die Zusammenstellung von Client-Informationen
Informationen |
Anmerkung |
---|---|
IP-Adresse des Client-Teilnetzes |
|
IP-Adresse des Client-Routers |
|
IP-Adresse des Clients |
|
Client-Teilnetzmaske |
|
Host-Name des Clients |
|
MAC-Adresse des Clients |
|
In diesem Kapitel werden die folgenden Schritte zur Vorbereitung Ihres Netzwerks für eine WAN-Boot-Installation erläutert:
Installieren über ein regional erweitertes Netzwerk (WAN) (Übersicht der Schritte)
Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation
(Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver
In den folgenden Tabellen sehen Sie die Schritte, die Sie zur Vorbereitung einer WAN-Boot-Installation durchführen müssen.
Eine Liste der Schritte, die Sie zur Vorbereitung einer sicheren WAN-Boot-Installation durchführen müssen, finden Sie in Tabelle 12–1.
Eine Beschreibung einer sicheren WAN-Boot-Installation über HTTPS finden Sie unter Sichere WAN-Boot-Installationskonfiguration.
Eine Liste der Schritte, die Sie zur Vorbereitung einer unsicheren WAN-Boot-Installation durchführen müssen, finden Sie in Tabelle 12–2.
Eine Beschreibung einer unsicheren WAN-Boot-Installation finden Sie unter Unsichere WAN-Boot-Installationskonfiguration.
Wenn Sie einen DHCP-Server oder einen Protokollserver verwenden möchten, führen Sie außerdem die Zusatzschritte aus, die am Ende der jeweiligen Tabelle angegeben sind.
Tabelle 12–1 Übersicht der Schritte: Vorbereitung für eine sichere WAN-Boot-Installation
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. |
Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. |
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
Für eine sicherere WAN-Boot-Installation stellen Sie die Webserver-Konfiguration auf sicheres HTTP ein. |
Ermitteln Sie die Webserver-Voraussetzungen für eine WAN-Installation per HTTPS. | |
Formatieren Sie digitale Zertifikate für eine sicherere WAN-Boot-Installation. |
Teilen Sie eine PKCS#12-Datei in einen privaten Schlüssel und ein Zertifikat für die WAN-Installation auf. |
(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung |
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel für eine sicherere WAN-Boot-Installation. |
Generieren Sie HMAC SHA1-, 3DES- oder AES-Schlüssel mit dem Befehl wanbootutil keygen. |
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
|
So erzeugen Sie die Datei sysidcfg |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Tabelle 12–2 Übersicht der Schritte: Vorbereitung für eine unsichere WAN-Boot-Installation
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. |
Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. |
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
(Optional) Generieren Sie einen Hashing-Schlüssel. |
Erzeugen Sie mit dem Befehl wanbootutil keygen einen HMAC SHA1-Schlüssel. Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel. |
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
|
So erzeugen Sie die Datei sysidcfg |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Beim WAN-Boot-Server handelt es sich um einen Webserver, der die Boot- und Konfigurationsdaten für die WAN-Boot-Installation bereitstellt. Eine Übersicht der Systemanforderungen für den WAN-Boot-Server finden Sie in Tabelle 11–1.
In diesem Abschnitt werden die folgenden Schritte beschrieben, die zur Konfiguration des WAN-Boot-Servers für eine WAN-Boot-Installation nötig sind:
Damit die Webserver-Software auf dem WAN-Boot-Server die Konfigurations- und Installationsdateien bereitstellen kann, müssen Sie ihr Zugang zu diesen Dateien einräumen. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server zu speichern.
Wenn Sie die Konfigurations- und Installationsdateien in einem Dokument-Root-Verzeichnis zur Verfügung stellen möchten, müssen Sie dieses Verzeichnis zunächst anlegen. Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Informationen zum Planen Ihres Dokument-Root-Verzeichnisses finden Sie unter Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis.
Im Abschnitt Erstellen des Dokument-Root-Verzeichnisses ist beispielhaft dargestellt, wie Sie ein Dokument-Root-Verzeichnis einrichten.
Nachdem Sie das Dokument-Root-Verzeichnis eingerichtet haben, erstellen Sie die WAN-Boot-Miniroot. Eine Anleitung hierzu finden Sie im Abschnitt Erzeugen der WAN-Boot-Miniroot.
WAN-Boot verwendet eine speziell auf die WAN-Boot-Installation ausgerichtete Solaris-Miniroot. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot. Wenn Sie eine WAN-Boot-Installation durchführen möchten, müssen Sie die Miniroot von der Solaris-DVD oder der Solaris Software-1 CD auf den WAN-Boot-Server kopieren. Kopieren Sie die WAN-Boot-Miniroot mit dem Befehl setup_install_server und der Option -w vom Solaris-Softwaredatenträger auf die Festplatte des Systems.
Bei diesem Verfahren wird eine SPARC-WAN-Boot-Miniroot mit einem SPARC-Datenträger erzeugt. Wenn Sie eine SPARC-WAN-Boot-Miniroot von einem x86–basierten Server aus zur Verfügung stellen möchten, müssen Sie die Miniroot auf einem SPARC-System erzeugen. Nachdem Sie die Miniroot erzeugt haben, kopieren Sie sie in das Dokument-Root-Verzeichnis auf dem x86–basierten Server.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn Sie nicht den Volume Manager verwenden, lesen Sie System Administration Guide: Devices and File Systems .
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Das System muss die folgenden Voraussetzungen erfüllen:
Es muss ein CD-ROM- oder DVD-ROM-Laufwerk aufweisen.
Es muss Teil des Netzwerks und Naming Service des Standorts sein.
Wenn Sie einen Naming Service verwenden, muss sich das System außerdem bereits in einem Naming Service wie NIS, NIS+, DNS oder LDAP befinden. Wenn Sie keinen Naming Service verwenden, müssen Sie die Informationen über dieses System in Übereinstimmung mit den Richtlinien des jeweiligen Standorts verteilen.
Legen Sie die Solaris Software-1 CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.
Erzeugen Sie ein Verzeichnis für die WAN-Boot-Miniroot und das Solaris-Installationsabbild.
# mkdir -p wan-dir-path install-dir-path |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Gibt das Verzeichnis auf dem Installationsserver an, in dem die WAN-Boot-Miniroot erzeugt werden soll. Dieses Verzeichnis muss Miniroots aufnehmen können, die in der Regel 250 MB groß sind.
Gibt das Verzeichnis auf dem Installationsserver an, in welches das Solaris-Software-Abbild kopiert werden soll. Dieses Verzeichnis kann zu einem späteren Zeitpunkt in diesem Verfahren entfernt werden.
Wechseln Sie in das Verzeichnis Tools auf dem eingehängten Datenträger.
# cd /cdrom/cdrom0/Solaris_10/Tools |
In diesem Beispiel ist cdrom0 der Pfad zu dem Laufwerk mit dem BS-Datenträger.
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild auf die Festplatte des WAN-Boot-Servers.
# ./setup_install_server -w wan-dir-path install-dir-path |
Gibt das Verzeichnis an, in das die WAN-Boot-Miniroot kopiert werden soll.
Gibt das Verzeichnis an, in welches das Solaris-Software-Abbild kopiert werden soll.
Der Befehl setup_install_server gibt an, ob ausreichend Festplattenspeicher für die Solaris Software-Datenträgerabbilder vorhanden ist. Um den verfügbaren Festplattenspeicher zu ermitteln, verwenden Sie den Befehl df -kl.
Der Befehl setup_install_server -w erzeugt die WAN-Boot-Miniroot und ein Netzwerkinstallationsabbild der Solaris-Software.
(Optional) Entfernen Sie das Netzwerkinstallationsabbild.
Für eine WAN-Installation mit Solaris Flash-Archiv brauchen Sie das Solaris-Software-Abbild nicht. Wenn Sie nicht beabsichtigen, das Netzwerkinstallationsabbild für weitere Netzwerkinstallationen einzusetzen, haben Sie also die Möglichkeit, Speicherplatz auf der Festplatte freizuräumen. Geben Sie folgenden Befehl ein, um das Netzwerkinstallationsabbild zu löschen.
# rm -rf install-dir-path |
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zur WAN-Boot-Miniroot ein.
Erzeugen Sie einen symbolischen Link auf die WAN-Boot-Miniroot im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zur WAN-Boot-Miniroot erzeugen möchten.
Gibt den Pfad zur WAN-Boot-Miniroot an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
Gibt den Pfad zur WAN-Boot-Miniroot an.
Gibt den Pfad zum WAN-Boot-Miniroot-Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Steht für den Namen der WAN-Boot-Miniroot. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise miniroot.s10_sparc.
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild mit dem Befehl setup_install_server(1M) und der Option -w in das Verzeichnis /export/install/Solaris_10 von wanserver-1.
Legen Sie den Solaris Software-Datenträger in das an wanserver-1 angeschlossene Laufwerk ein. Geben Sie die folgenden Befehle ein.
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis (/opt/apache/htdocs/) des WAN-Boot-Servers. In diesem Beispiel lautet der Name der WAN-Boot-Miniroot miniroot.s10_sparc.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Nachdem Sie die WAN-Boot-Miniroot erstellt haben, müssen Sie prüfen, ob das OpenBoot PROM (OBP) auf dem Client WAN-Bootvorgänge unterstützt. Wie das geht, erfahren Sie im Abschnitt Überprüfen des Clients auf WAN-Boot-Unterstützung.
Nähere Informationen zum Befehl setup_install_server finden Sie in install_scripts(1M).
Für eine WAN-Boot-Installation ohne Benutzereingriff muss das Client-OpenBoot PROM (OBP) Unterstützung für WAN-Boot bieten. Sollte dies nicht der Fall sein, können Sie die WAN-Boot-Installation durchführen, indem Sie die erforderlichen Programme lokal auf einer CD bereitstellen.
Ob der Client WAN-Bootvorgänge unterstützt, können Sie anhand seiner OBP-Konfigurationsvariablen ermitteln. Gehen Sie dazu wie im Folgenden beschrieben vor.
Mit dem folgenden Verfahren können Sie feststellen, ob das Client-OBP Unterstützung für WAN-Boot bietet.
Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Überprüfen Sie die OBP-Konfigurationsvariablen auf WAN-Boot-Unterstützung.
# eeprom | grep network-boot-arguments |
Wenn die Variable network-boot-arguments angezeigt wird oder der obige Befehl die Ausgabe network-boot-arguments: data not available liefert, bietet das OBP Unterstützung für WAN-Boot-Installationen. Sie müssen das OBP vor der WAN-Boot-Installation also nicht aktualisieren.
Liefert der vorige Befehl keine Ausgabe, bedeutet dies, dass das OBP WAN-Boot-Installationen nicht unterstützt. In diesem Fall müssen Sie eine der nachfolgenden Maßnahmen ergreifen.
Aktualisieren Sie das Client-OBP. Bei Clients, die über ein WAN-Boot-Installationen unterstützendes OBP verfügen, können Sie Informationen zum Aktualisieren des OBP in der Systemdokumentation nachlesen.
Nicht alle Client-OBPs unterstützen WAN-Boot. Für diese Clients verwenden Sie die nächste Option.
Wenn Sie die erforderlichen Vorbereitungsschritte abgeschlossen haben und bereit zur Client-Installation sind, führen Sie die WAN-Boot-Installation von der Solaris Software-CD1 oder DVD aus. Diese Option funktioniert in Fällen, bei denen das aktuelle OBP das WAN-Booten nicht unterstützt.
Wie Sie den Client von CD1 booten, erfahren Sie in So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor. Informationen zu den restlichen Vorbereitungsschritten finden Sie im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Mit dem folgenden Befehl stellen Sie fest, ob das Client-OBP Unterstützung für WAN-Boot bietet.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Die Ausgabe network-boot-arguments: data not available in diesem Beispiel weist darauf hin, dass das Client-OBP Unterstützung für WAN-Boot-Installationen bietet.
Wenn Sie überprüft haben, dass das Client-OBP WAN-Boot unterstützt, müssen Sie das Programm wanboot auf den WAN-Boot-Server kopieren. Eine Anleitung hierzu finden Sie im Abschnitt Installation des wanboot-Programms auf dem WAN-Boot-Server.
Sollte das Client-OBP hingegen keine Unterstützung für wanboot bieten, ist dieser Schritt überflüssig. Stattdessen stellen Sie das wanboot-Programm auf dem Client auf einer lokalen CD bereit. Der nächste Schritt im Installationsprozess ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.
Weitere Informationen zum Befehl setup_install_server finden Sie in Kapitel 4Installieren über das Netzwerk (Übersicht).
Für die Installation des Clients kommt in WAN-Boot ein spezielles Unterprogramm (wanboot) zum Einsatz. Das wanboot-Programm lädt die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die für eine WAN-Boot-Installation erforderlichen Installationsdateien.
Das wanboot-Programm muss dem Client während der WAN-Boot-Installation zur Verfügung gestellt werden. Hierzu haben Sie folgende Möglichkeiten:
Wenn der Client-PROM WAN-Boot unterstützt, können Sie das Programm vom WAN-Boot-Server auf den Client übertragen. In diesem Falle müssen Sie das wanboot-Programm auf dem WAN-Boot-Server installieren.
Wie Sie herausfinden, ob das Client-PROM WAN-Boot unterstützt, ist im Abschnitt So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung beschrieben.
Wenn der Client-PROM keine Unterstützung für WAN-Boot bietet, müssen Sie dem Client das Programm auf einer lokalen CD zur Verfügung stellen. In diesem Fall setzen Sie die Installationsvorbereitung wie unter Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben fort.
Dieses Verfahren beschreibt, wie Sie das wanboot-Programm von den Solaris-Datenträgern auf den WAN-Boot-Server kopieren.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn Sie nicht den Volume Manager verwenden, lesen Sie System Administration Guide: Devices and File Systems .
Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. Die erforderlichen Schritte hierzu sind unter So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung beschrieben.
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Installationsserver an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Legen Sie die Solaris Software-1 CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.
Wechseln Sie in das Plattformverzeichnis sun4u auf der Solaris Software-1 CD oder der Solaris-DVD.
# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ |
Kopieren Sie das wanboot-Programm auf den Installationsserver.
# cp wanboot /document-root-directory/wanboot/wanboot-name |
Steht für das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
Gibt den Namen des wanboot-Programms an. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise wanboot.s10_sparc.
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zum wanboot-Programm ein.
Erzeugen Sie einen symbolischen Link auf das wanboot-Programm im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zum wanboot-Programm erzeugen möchten.
Gibt den Pfad zum wanboot-Programm an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
Gibt den Pfad zum wanboot-Programm an.
Gibt den Pfad zum wanboot-Programmverzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Gibt den Namen des wanboot-Programms an. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise wanboot.s10_sparc.
Zum Installieren des wanboot-Programms auf dem WAN-Boot-Server kopieren Sie das Programm vom Solaris Software-Datenträger in das Dokument-Root-Verzeichnis des WAN-Boot-Servers.
Legen Sie die Solaris-DVD oder die Solaris Software-1 CD in das an wanserver-1 angeschlossene Laufwerk ein, und geben Sie folgende Befehle ein:
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
In diesem Beispiel lautet der Name des wanboot-Programms wanboot.s10_sparc.
Nachdem Sie das wanboot-Programm auf dem WAN-Boot-Server installiert haben, müssen Sie die /etc/netboot-Hierarchie auf dem WAN-Boot-Server erstellen. Dieser Schritt ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.
Einen Überblick über das wanboot-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.
Während der Installation sucht WAN-Boot in der /etc/netboot-Hierarchie auf dem Webserver nach Installationsanweisungen. Dieses Verzeichnis enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für die WAN-Boot-Installation benötigt werden. Aus diesen Informationen bildet das Programm wanboot-cgi bei der Installation das WAN-Boot-Dateisystem. Anschließend überträgt das Programm wanboot-cgi das WAN-Boot-Dateisystem an den Client.
Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.
Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die gemeinsam genutzten Dateien im Verzeichnis /etc/netboot.
Netzwerk-spezifische Konfiguration – Wenn nur die Computer in einem bestimmten Teilnetz Konfigurationsinformationen gemeinsam nutzen sollen, speichern Sie die gemeinsam zu nutzenden Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/net-ip |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients.
Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/net-ip/client-ID |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID.
Ausführliche Hinweise zur Planung dieser Konfigurationen finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Das folgende Verfahren beschreibt, wie Sie die /etc/netboot-Hierarchie erstellen.
Gehen Sie wie folgt vor, um die /etc/netboot-Hierarchie zu erstellen.
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Erzeugen Sie das Verzeichnis /etc/netboot.
# mkdir /etc/netboot |
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
# chmod 700 /etc/netboot |
Setzen Sie den Eigentümer des Verzeichnisses /etc/netboot auf den Webserver-Eigentümer.
# chown web-server-user:web-server-group /etc/netboot/ |
Steht für den Benutzer, der Eigentümer des Webserver-Prozesses ist.
Steht für die Gruppe, die Eigentümer des Webserver-Prozesses ist.
Beenden Sie den Superuser-Status.
# exit |
Nehmen Sie die Benutzerrolle des Webserver-Eigentümers an.
Erzeugen Sie in /etc/netboot ein Unterverzeichnis für den Client.
# mkdir -p /etc/netboot/net-ip/client-ID |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Die Netzwerk-IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Das Client-ID-Verzeichnis muss ein Unterverzeichnis des Netz-IP-Verzeichnisses sein.
Setzen Sie die Berechtigungen für jedes Verzeichnis in der /etc/netboot-Hierarchie auf 700.
# chmod 700 /etc/netboot/dir-name |
Das folgende Beispiel zeigt, wie die /etc/netboot-Hierarchie für den Client 010003BA152A42 im Teilnetz 192.168.198.0 erzeugt wird. In diesem Beispiel sind der Benutzer nobody und die Gruppe admin Eigentümer des Webserver-Prozesses.
Die Befehle in diesem Beispiel führen folgende Aktionen durch:
Erzeugen Sie das Verzeichnis /etc/netboot.
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
Setzen Sie den Besitzer des Webserver-Prozesses als Besitzer des Verzeichnisses /etc/netboot.
Annehmen der Benutzerrolle des Webserver-Benutzers.
Erzeugen Sie ein Unterverzeichnis in /etc/netboot mit dem Namen des Teilnetzes (192.168.198.0).
Erzeugen eines Unterverzeichnisses im Teilnetzverzeichnis und benennen nach der Client-ID.
Setzen Sie die Berechtigungen für die Unterverzeichnisse von /etc/netboot auf 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Nachdem Sie die /etc/netboot-Hierarchie erstellt haben, müssen Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopieren. Dieser Schritt ist unter Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server beschrieben.
For detailed planning information about how to design the /etc/netboot hierarchy, see Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Das Programm wanboot-cgi erzeugt die Datenströme, mit welchen die folgenden Dateien vom WAN-Boot-Server zum Client übertragen werden.
wanboot-Programm
WAN-Boot-Dateisystem
WAN-Boot-Miniroot
Das Programm wanboot-cgi wird zusammen mit aktuelle Solaris-Release auf dem System installiert. Damit der WAN-Boot-Server auf dieses Programm zugreifen kann, kopieren Sie es in das Verzeichnis cgi-bin des WAN-Boot-Servers.
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server.
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
Steht für das Root-Verzeichnis der Webserver-Software auf dem WAN-Boot-Server.
Setzen Sie auf dem WAN-Boot-Server die Berechtigungen für das CGI-Programm auf 755.
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
Nachdem Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopiert haben, können Sie wahlweise einen Protokollserver einrichten. Die Vorgehensweise dazu ist unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver beschrieben.
Wenn Sie keinen eigenen Protokollserver einrichten möchten, lesen Sie bitte in Abschnitt (Optional) Schützen der Daten mit HTTPS weiter. Dort erfahren Sie, wie Sie die Sicherheitsmerkmale einer WAN-Boot-Installation einrichten.
Einen Überblick über das wanboot-cgi-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.
Standardmäßig werden alle Protokollmeldungen beim WAN-Boot auf dem Clientsystem angezeigt, um eine schnelle Fehlerdiagnose bei Installationsproblemen zu ermöglichen.
Wenn die Boot- und Installationsprotokollmeldungen auf einem anderen System als dem Client aufgezeichnet werden sollen, müssen Sie einen Protokollserver (Logging-Server) einrichten. Soll der Protokollserver bei der Installation mit HTTPS arbeiten, muss der WAN-Boot-Server als Protokollserver konfiguriert werden.
Zum Konfigurieren des Protokollservers führen Sie die nachfolgenden Schritte durch.
Kopieren Sie das Skript bootlog-cgi in das CGI-Skriptverzeichnis des Protokollservers.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
Steht für das Verzeichnis cgi-bin im Webserver-Verzeichnis des Protokollservers.
Setzen Sie die Berechtigungen für das Skript bootlog-cgi auf 755.
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
Setzen Sie den Wert für den Parameter boot_logger in der Datei wanboot.conf.
Geben Sie in der Datei wanboot.conf die URL des Skripts bootlog-cgi auf dem Protokollserver an.
Weitere Informationen zum Einstellen der Parameter in der Datei wanboot.conf finden Sie in So erzeugen Sie die Datei wanboot.conf.
Während der Installation werden im Verzeichnis /tmp des Protokollservers Boot- und Installationsprotokollmeldungen aufgezeichnet. Die Protokolldatei erhält den Namen bootlog.Host-Name, wobei Host-Name der Host-Name des Clients ist.
Im folgenden Beispiel wird der WAN-Boot-Server als Protokollserver konfiguriert.
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Nachdem Sie den Protokollserver eingerichtet haben, können Sie die WAN-Boot-Installation wahlweise so einrichten, dass digitale Zertifikate und Sicherheitsschlüssel verwendet werden. Die Einrichtung der Sicherheitsmerkmale einer WAN-Boot-Installation ist in (Optional) Schützen der Daten mit HTTPS beschrieben.
Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie die Schritte in diesem Abschnitt überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:
Aktivieren Sie die SSL-Unterstützung in Ihrer Webserver-Software.
Die Vorgehensweise zum Aktivieren der SSL-Unterstützung und der Client-Authentifizierung ist vom jeweiligen Webserver abhängig. Dieses Dokument enthält keine Anweisungen zum Aktivieren dieser Sicherheitsfunktionen auf dem Webserver. Die entsprechenden Informationen entnehmen Sie bitte der folgenden Dokumentation:
Informationen zum Aktivieren von SSL auf den Webservern SunONE und iPlanet finden Sie in den Sun ONE- und iPlanet-Dokumentationsreihen unter http://docs.sun.com.
Informationen zum Aktivieren von SSL auf dem Webserver Apache finden Sie im Apache Dokumentationsprojekt unter http://httpd.apache.org/docs-project/.
Informationen zu hier nicht aufgeführter Webserver-Software entnehmen Sie bitte der Dokumentation zu Ihrer Webserver-Software.
Installieren Sie digitale Zertifikate auf dem WAN-Boot-Server.
In (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung erhalten Sie Informationen über die Verwendung von digitalen Zertifikaten mit WAN-Boot..
Stellen Sie dem Client ein vertrauenswürdiges Zertifikat zur Verfügung.
In (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung finden Sie Anweisungen zum Erstellen vertrauenswürdiger Zertifikate.
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
Anweisungen zum Generieren von Schlüsseln finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
(Optional) Aktivieren Sie die Unterstützung für die Client-Authentifizierung in der Konfiguration der Webserver-Software.
Anweisungen hierzu entnehmen Sie bitte der Dokumentation zu Ihrem Webserver.
Dieser Abschnitt beschreibt, wie Sie digitale Zertifikate und Schlüssel bei Ihrer WAN-Boot-Installation verwenden können.
Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.
Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:
Teilen Sie die PKCS#12-Datei in einen privaten SSL-Schlüssel und ein vertrauenswürdiges Zertifikat auf.
Fügen Sie das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. Dieses Zertifikat weist den Client an, den Server als vertrauenswürdig zu akzeptieren.
(Optional) Fügen Sie den Inhalt der Datei des privaten SSL-Schlüssels in die Datei keystore des Clients in der /etc/netboot-Hierarchie ein.
Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Gehen Sie wie folgt vor, um ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client zu erstellen.
Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Einen Überblick über die /etc/netboot-Hierarchie finden Sie unter Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Anweisungen zum Erstellen der /etc/netboot-Hierarchie finden Sie unter Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
(Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.
Wenn nein, fahren Sie mit dem Schritt (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel fort.
Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.
Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.
Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.
Gibt den Pfad zur Datei keystore des Clients an.
In folgendem Beispiel wird der Client 010003BA152A42 im Teilnetz 192.168.198.0 unter Verwendung einer PKCS#12-Datei installiert. Dabei wird aus einer PKCS#12-Datei namens client.p12 ein Zertifikat extrahiert. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Nachdem Sie ein digitales Zertifikat erstellt haben, erzeugen Sie einen Hashing- und einen Chiffrierschlüssel. Die Vorgehensweise dazu ist in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel beschrieben.
Nähere Informationen zum Erstellen von vertrauenswürdigen Zertifikaten finden Sie auf der Manpage wanbootutil(1M).
Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.
Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Gehen Sie folgendermaßen vor, um einen Hashing-Schlüssel und einen Chiffrierschlüssel zu erzeugen.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie den HMAC SHA1-Masterschlüssel.
# wanbootutil keygen -m |
Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.
Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.
Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.
Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.
Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.
Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.
Chiffrierschlüssel für den Client erzeugen
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type |
Erzeugt den Chiffrierschlüssel für den Client.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.
Installieren Sie die Schlüssel auf dem Clientsystem.
Anweisungen zur Installation der Schlüssel auf dem Client finden Sie unter Installation von Schlüsseln auf dem Client.
In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.198.0 generiert.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation.
Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).
WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Client. Die benutzerdefinierte JumpStart-Installation bietet eine Befehlszeilenschnittstelle, mit der Sie automatisch auf mehreren Systemen eine Installation ausführen können, und zwar basierend auf von Ihnen erstellten Profilen. Diese Profile definieren die spezifischen Software-Installationsanforderungen. Außerdem können Sie für die vor und nach der Installation erforderlichen Schritte Shell-Skripte verwenden. Dabei geben Sie selbst an, welche Profile und Skripte für die Installation bzw. das Upgrade verwendet werden sollen. Die Installation bzw. das Upgrade mit der benutzerdefinierten JumpStart-Installation wird dann auf der Grundlage der von Ihnen ausgewählten Profile und Skripte ausgeführt. Außerdem können Sie eine sysidcfg-Datei verwenden und die Konfigurationsinformationen vorkonfigurieren, so dass die benutzerdefinierte JumpStart-Installation völlig ohne Benutzereingriff abläuft.
Führen Sie die folgenden Schritte durch, um JumpStart-Dateien für eine WAN-Boot-Installation vorzubereiten.
Ausführliche Informationen zur benutzerdefinierten JumpStart-Installation finden Sie in Kapitel 2, Benutzerdefinierte JumpStart-Installation (Übersicht) in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Die Installationsfunktion Solaris Flash bietet die Möglichkeit, eine Modellinstallation von Solaris auf einem einzigen System, dem Master-System, anzulegen. Sie können dann ein Solaris Flash-Archiv erzeugen, das ein genaues Abbild des Master-Systems ist. Das Solaris Flash-Archiv können Sie auf anderen Systemen im Netzwerk installieren, wodurch Klonsysteme erzeugt werden.
In diesem Abschnitt erfahren Sie, wie Sie ein Solaris Flash-Archiv erzeugen.
Bevor Sie ein Solaris Flash-Archiv erzeugen, müssen Sie das Master-System einrichten.
Informationen zur Installation eines Mastersystems finden Sie unter Installation des Mastersystems in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Ausführliche Informationen zu Solaris Flash-Archiven finden Sie in Kapitel 1, Solaris Flash (Übersicht) in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Probleme mit Dateigrößen:
Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.
Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.
Der Befehl flarcreate übt keinerlei Größenbeschränkungen mehr auf einzelne Dateien aus. Sie können ein Solaris Flash-Archiv erstellen, dass einzelne Dateien enthalten kann, die größer als 4 GB sind.
Weitere Informationen finden Sie unter Erstellen eines Archivs, das große Dateien enthält in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Starten Sie das Master-System.
Bringen Sie das Master-System in einen so weit wie möglich inaktiven Zustand. Versetzen Sie das System nach Möglichkeit in den Einzelbenutzermodus. Wenn das nicht möglich ist, fahren Sie alle Anwendungen, die archiviert werden sollen, sowie alle Anwendungen, die die Betriebssystemressourcen stark beanspruchen, herunter.
Legen Sie das Archiv mit dem Befehl flarcreate an.
# flarcreate -n name [optional-parameters] document-root/flash/filename |
Der Name, den Sie dem Archiv geben. Der Name, den Sie angeben, ist der Wert des Schlüsselworts content_name.
Es stehen verschiedene Optionen für den Befehl flarcreate zur Verfügung, die Ihnen eine Anpassung des Solaris Flash-Archivs ermöglichen. Ausführliche Beschreibungen dieser Optionen finden Sie in Kapitel 6, Solaris Flash (Referenz) in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Der Pfad zum Solaris Flash-Unterverzeichnis im Dokument-Root-Verzeichnis des Installationsservers.
Der Name der Archivdatei.
Um Speicherplatz zu sparen, können Sie das Archiv komprimieren, indem Sie dem Befehl flar create die Option -c übergeben. Ein komprimiertes Archiv kann jedoch die Leistung der WAN-Boot-Installation beeinträchtigen. Weitere Informationen über die Herstellung komprimierter Archive entnehmen Sie bitte der Manpage flarcreate(1M).
Wenn das Archiv erfolgreich angelegt wird, gibt der Befehl flarcreate den Exit-Code 0 zurück.
Wenn das Anlegen des Archivs fehlschlägt, gibt der Befehl flarcreate einen Exit-Code ungleich 0 zurück.
In diesem Beispiel erstellen Sie ein Solaris Flash-Archiv, indem Sie das WAN-Boot-Serversystem mit dem Rechnernamen wanserver klonen. Das Archiv erhält den Namen sol_10_sparc und wird 1:1 vom Master-System kopiert. Es stellt ein exaktes Duplikat des Master-Systems dar. Das fertige Archiv wird in sol_10_sparc.flar gespeichert. Sie speichern das Archiv im Unterverzeichnis flash/archives des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Nachdem Sie das Solaris Flash-Archiv erstellt haben, richten Sie die vorkonfigurierten Client-Informationen in der Datei sysidcfg ein. Die dazugehörige Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg.
Ausführliche Anweisungen zum Erstellen eines Solaris Flash-Archivs finden Sie in Kapitel 3, Erstellen von Solaris Flash-Archiven (Vorgehen) in Oracle Solaris 10 9/10 Installationshandbuch: Solaris Flash-Archive (Erzeugung und Installation).
Der Befehl flarcreate ist darüber hinaus auf der Manpage flarcreate(1M) beschrieben.
In der Datei sysidcfg können Sie zum Vorkonfigurieren eines Systems eine Reihe von Schlüsselwörtern angeben.
Gehen Sie folgendermaßen vor, um die Datei sysidcfg zu erzeugen.
Erzeugen Sie das Solaris Flash-Archiv. Eine ausführliche Anleitung finden Sie in So erzeugen Sie das Solaris Flash-Archiv.
Erzeugen Sie auf dem Installationsserver in einem Texteditor eine Datei namens sysidcfg.
Geben Sie die gewünschten sysidcfg-Schlüsselwörter ein.
Für ausführliche Informationen zu den sysidcfg-Schlüsselwörtern schlagen Sie bitte im Abschnitt Schlüsselwörter in der Datei sysidcfg nach.
Speichern Sie die Datei sysidcfg in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich WAN-Boot-Server und Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installationsserver.
Im Folgenden sehen Sie eine sysidcfg-Beispieldatei für ein SPARC-System. Host-Name, IP-Adresse und Netzmaske dieses Systems wurden durch Bearbeitung des Naming Service vorkonfiguriert.
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
Nachdem Sie die sysidcfg-Datei erstellt haben, erstellen Sie ein benutzerdefiniertes JumpStart-Profil für den Client. Die dazugehörige Anleitung finden Sie in So erstellen Sie das Profil.
Ausführlichere Informationen über Schlüsselwörter und Werte für die Datei sysidcfg finden Sie in Vorkonfiguration mit der Datei sysidcfg.
Bei einem Profil handelt es sich um eine Textdatei, aus welcher das Programm für die benutzerdefinierte JumpStart-Installation entnimmt, wie die Solaris-Software auf einem System installiert werden soll. Ein Profil definiert Elemente der Installation, wie zum Beispiel die zu installierende Softwaregruppe.
Ausführliche Informationen zum Erstellen von Profilen finden Sie unter Erstellen eines Profils in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Gehen Sie folgendermaßen vor, um das Profil zu erstellen.
Erstellen Sie die sysidcfg-Datei für den Client. Eine ausführliche Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg.
Erzeugen Sie auf dem Installationsserver eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen.
Stellen Sie sicher, dass der Name des Profils wiedergibt, wie Sie das Profil zum Installieren der Solaris-Software auf einem System einsetzen wollen. So können Sie zum Beispiel die Profile basic_install, eng_profile oder user_profile anlegen.
Fügen Sie Schlüsselwörter und Werte zu dem Profil hinzu.
Eine Liste der Profil-Schlüsselwörter finden Sie unter Profilschlüsselwörter und -werte in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Bei Profilschlüsselwörtern und deren Werten wird zwischen Groß- und Kleinschreibung unterschieden.
Speichern Sie das Profil in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie das Profil in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer des Profils ist und dass die Berechtigungen auf 644 gesetzt sind.
(Optional) Testen Sie das Profil.
Weitere Informationen zum Testen von Profilen finden Sie unter Testen eines Profils in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Das Profil in folgendem Beispiel sieht vor, dass das Programm für die benutzerdefinierte JumpStart-Installation das Solaris Flash-Archiv von einem sicheren HTTP-Server abruft.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.
Das Profil installiert ein Solaris Flash-Archiv auf dem Klonsystem. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.
Das komprimierte Solaris Flash-Archiv wird von einem sicheren HTTP-Server abgerufen.
Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.
Nachdem Sie ein Profil erstellt haben, müssen Sie die Datei rules erstellen und überprüfen. Eine Anleitung dazu finden Sie in So erstellen Sie die Datei rules.
Weitere Informationen zum Erstellen eines Profils finden Sie unter Erstellen eines Profils in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Ausführliche Informationen zu Profil-Schlüsselwörtern und -werten finden Sie unter Profilschlüsselwörter und -werte in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Bei der Datei rules handelt es sich um eine Textdatei, die für jede Gruppe von Systemen, auf welchen Solaris installiert werden soll, eine Regel enthält. Jede Regel charakterisiert eine Gruppe von Systemen auf der Grundlage von einem oder mehreren Systemattributen. Jede Regel verknüpft außerdem jede Gruppe mit einem Profil. Ein Profil ist eine Textdatei, in der definiert ist, wie die Solaris-Software auf den Systemen in der Gruppe installiert werden soll. Die folgende Regel legt zum Beispiel fest, dass das JumpStart-Programm die Informationen im Profil basic_prof zur Installation aller Systeme der Plattformgruppe sun4u verwenden soll.
karch sun4u - basic_prof - |
Die Datei rules dient zum Generieren der Datei rules.ok, die für benutzerdefinierte JumpStart-Installationen erforderlich ist.
Ausführliche Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Gehen Sie folgendermaßen vor, um die Datei rules zu erzeugen.
Erstellen Sie das Profil für den Client. Eine ausführliche Anleitung finden Sie in So erstellen Sie das Profil.
Erzeugen Sie auf dem Installationsserver eine Textdatei namens rules.
Fügen Sie für jede Gruppe von Systemen, die eingerichtet werden sollen, eine Regel in die Datei rules ein.
Ausführliche Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Speichern Sie die Datei rules auf dem Installationsserver.
Validieren Sie die rules-Datei.
$ ./check -p path -r file-name |
Validiert die Datei rules unter Verwendung des Skripts check aus dem Abbild der Solaris-Software anstelle des Skripts check auf dem System, mit dem Sie arbeiten. Pfad ist der Pfad zu einem Abbild auf einer lokalen Festplatte oder zu einer eingehängten Solaris-DVD oder Solaris Software-1 CD.
Verwenden Sie diese Option, um die neueste Version von check auszuführen, wenn auf dem System eine frühere Version von Solaris läuft.
Gibt eine andere rules-Datei als die mit dem Namen rules an. Mit dieser Option können Sie die Gültigkeit einer Regel testen, bevor Sie die Regel in die Datei rules aufnehmen.
Während das Skript check ausgeführt wird, werden Meldungen zur Validierung der Datei rules und der einzelnen Profile ausgegeben. Wenn keine Fehler auftreten, gibt das Skript Folgendes aus: The custom JumpStart configuration is ok. Das Skript check erzeugt die Datei rules.ok.
Speichern Sie die Datei rules.ok in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer der Datei rules.ok ist und dass die Berechtigungen auf 644 gesetzt sind.
Aus der Datei rules wählen die Programme für die benutzerdefinierte JumpStart-Installation das richtige Profil für das System wanclient-1 aus. Erzeugen Sie eine Textdatei namens rules. Fügen Sie dann Schlüsselwörter und Werte in diese Datei ein.
Die IP-Adresse des Clientsystems lautet 192.168.198.210, die Netzmaske 255.255.255.0. Mit dem Schlüsselwort network geben Sie an, welches Profil die Programme für die benutzerdefinierte JumpStart-Installation zur Installation des Clients verwenden sollen.
network 192.168.198.0 - wanclient_prof - |
Die rules-Datei legt damit fest, dass die Programme für die benutzerdefinierte JumpStart-Installation das Profil wanclient_prof verwenden sollen, um die aktuelle Solaris-Release-Software auf dem Client zu installieren.
Nennen Sie diese Datei wanclient_rule.
Wenn Sie das Profil und die rules-Datei erzeugt haben, führen Sie das check-Skript aus, um die Gültigkeit der Dateien zu überprüfen.
wanserver# ./check -r wanclient_rule |
Wenn das Skript check keine Fehler findet, erstellt es die Datei rules.ok.
Speichern Sie die Datei rules.ok im Verzeichnis /opt/apache/htdocs/flash/.
Nachdem Sie die Datei rules.ok erstellt haben, können Sie wahlweise Begin- und Finish-Skripten für Ihre Installation einrichten. Eine Anleitung hierzu finden Sie in (Optional) Erzeugen von Begin- und Finish-Skripten.
Wenn Sie keine Begin- und Finish-Skripten einrichten möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.
Ausführliche Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Ausführliche Informationen zu den Schlüsselwörtern und Werten der rules-Datei finden Sie unter Rule-Schlüsselwörter und -Werte in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Begin- und Finish-Skripten sind benutzerdefinierte Bourne-Shell-Skripten, die Sie in der Datei rules angeben. Ein Begin-Skript führt bestimmte Aufgaben aus, bevor die Solaris-Software auf einem System installiert wird. Ein Finish-Skript führt bestimmte Aufgaben nach der Installation der Solaris-Software auf einem System auf, jedoch bevor das System erneut gebootet wird. Sie können diese Skripten nur verwenden, wenn Sie die Solaris-Software mit dem benutzerdefinierten JumpStart-Installationsverfahren installieren.
Mit Begin-Skripten lassen sich abgeleitete Profile erstellen. Finish-Skripten dienen zur Durchführung verschiedenster Vorgänge nach der Installation. Hierzu gehört das Hinzufügen von Dateien, Packages, Patches oder zusätzlicher Software.
Begin- und Finish-Skripten müssen in demselben Verzeichnis auf dem Installationsserver gespeichert werden wie die Dateien sysidcfg, rules.ok und die Profildateien.
Weitere Informationen zum Erstellen von Begin-Skripten finden Sie unter Erstellen von Begin-Skripten in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Weitere Informationen zum Erstellen von Finish-Skripten finden Sie unter Erstellen von Finish-Skripten in Oracle Solaris 10 9/10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Setzen Sie die Vorbereitung Ihrer WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.
Zur Ermittlung der Adressen der für die WAN-Boot-Installation benötigten Daten und Dateien stützt sich WAN-Boot auf folgende Dateien:
Systemkonfigurationsdatei (system.conf)
wanboot.conf
In diesem Abschnitt erfahren Sie, wie diese beiden Dateien erzeugt und gespeichert werden.
Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:
sysidcfg
rules.ok
Profil für die benutzerdefinierte JumpStart-Installation
Die Informationen für Installation und Konfiguration der Clients entnimmt WAN-Boot aus den Dateien, auf die in der Systemkonfigurationsdatei verwiesen wird.
Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:
setting=value |
Führen Sie die nachfolgenden Schritte durch, um die WAN-Installationsprogramme mithilfe einer Systemkonfigurationsdatei zu den Dateien sysidcfg, rules.ok und den Profildateien zu leiten.
Bevor Sie die Systemkonfigurationsdatei erzeugen, müssen Sie zunächst die Installationsdateien für Ihre WAN-Boot-Installation erstellen. Eine ausführliche Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen, z. B. sys-conf.s10–sparc.
Fügen Sie die folgenden Einträge zur Systemkonfigurationsdatei hinzu.
Diese Einstellung verweist auf das Verzeichnis flash auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Vergewissern Sie sich, dass diese URL mit dem Pfad zur Datei sysidcfg übereinstimmt, die Sie in So erzeugen Sie die Datei sysidcfg erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Diese Einstellung zeigt auf das Solaris Flash-Verzeichnis auf dem Installationsserver, das die Datei rules.ok, die Profildatei sowie Begin- und Finish-Skripten enthält. Diese URL muss mit dem Pfad zu den JumpStart-Dateien übereinstimmen, die Sie in So erstellen Sie das Profil und So erstellen Sie die Datei rules erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Zur Erleichterung der Administration bietet es sich an, die Datei im entsprechenden Client-Verzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server zu speichern.
Setzen Sie die Berechtigungen für die Systemkonfigurationsdatei auf 600.
# chmod 600 /path/system-conf-file |
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com (Port 1234) nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver nutzt zum Verschlüsseln der Daten und Dateien während der Installation das sichere HTTP-Protokoll.
Die Datei sysidcfg und die Dateien der benutzerdefinierten JumpStart-Installation befinden sich im Unterverzeichnis flash das Dokument-Root-Verzeichnisses /opt/apache/htdocs.
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver verwendet eine HTTP-Verbindung, und die Daten und Dateien sind während der Installation ungeschützt.
Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
Nachdem Sie die Systemkonfigurationsdatei erstellt haben, erzeugen Sie die Datei wanboot.conf. Eine Anleitung dazu finden Sie in So erzeugen Sie die Datei wanboot.conf.
Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Programme für die Durchführung einer WAN-Installation zugreifen. Sowohl das Programm wanboot-cgi als auch das Boot-Dateisystem und die WAN-Boot-Miniroot greifen für die Installation des Clientsystems auf die Informationen in der Datei wanboot.conf zu.
Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Wenn auf dem WAN-Boot-Server aktuelle Solaris-Release läuft, finden Sie in /etc/netboot/wanboot.conf.sample ein Beispiel für die Datei wanboot.conf. Diese Beispieldatei können Sie als Vorlage für Ihre WAN-Boot-Installation verwenden.
Die nachfolgenden Informationen müssen in der Datei wanboot.conf enthalten sein.
Diese Informationen stellen Sie bereit, indem Sie die Parameter und die dazugehörigen Werte in folgendem Format aufführen:
parameter=value |
Ausführliche Informationen über Parameter und Syntax für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.
Gehen Sie folgendermaßen vor, um die Datei wanboot.conf zu erzeugen.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie die Textdatei wanboot.conf.
Dabei können Sie entweder eine neue Datei namens wanboot.conf erstellen oder die in /etc/netboot/wanboot.conf.sample enthaltene Beispieldatei verwenden. Wenn Sie auf die Beispieldatei zurückgreifen, benennen Sie die Datei in wanboot.conf um, nachdem Sie alle Parameter hinzugefügt haben.
Geben Sie die geeigneten wanboot.conf-Parameter und -Parameterwerte für Ihre Installation ein.
Ausführliche Informationen über Parameter und Werte für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.
Speichern Sie die Datei wanboot.conf in dem passenden Unterverzeichnis in der /etc/netboot-Hierarchie.
Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Validieren Sie die wanboot.conf-Datei.
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
Steht für den Pfad zur Datei wanboot.conf des Clients auf dem WAN-Boot-Server.
Wenn die Struktur der Datei wanboot.conf gültig ist, gibt der Befehl bootconfchk den Beendigungscode 0 zurück.
Ist die Datei wanboot.conf hingegen ungültig, liefert der Befehl bootconfchk einen Beendigungscode ungleich Null.
Setzen Sie die Berechtigungen für die wanboot.conf-Datei auf 600.
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine WAN-Installation mit sicherem HTTP. Außerdem ist in der Datei wanboot.conf festgelegt, dass bei der Installation eine 3DES-Verschlüsselung zum Einsatz kommt.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet https://www.Beispiel.com:1234/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.
Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Verzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.
Das Programm wanboot.s10_sparc und das Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.
Der Server wird bei der Installation authentifiziert.
Der Client wird bei der Installation nicht authentifiziert.
Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden per sicherem HTTP auf dem WAN-Boot-Server aufgezeichnet.
Anweisungen zur Einrichtung eines Protokollservers für die WAN-Boot-Installation finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.
Die Systemkonfigurationsdatei enthält die Speicherorte der Datei sysidcfg und der JumpStart-Dateien, die sich in einem Unterverzeichnis der /etc/netboot-Hierarchie befinden. Die Systemkonfigurationsdatei heißt sys-conf.s10–sparc.
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine weniger sichere WAN-Boot-Installation mit HTTP. Diese wanboot.conf-Datei gibt auch vor, dass bei der Installation weder ein Hashing-Schlüssel noch eine Verschlüsselung zum Einsatz kommen.
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet http://www.Beispiel.com/cgi-bin/wanboot-cgi. Die Installation erfolgt nicht über sicheres HTTP.
Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Unterverzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht mit einem Hashing-Schlüssel signiert.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht chiffriert.
Der Server wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Der Client wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Es werden keine zusätzlichen Host-Namen für die Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden auf dem WAN-Boot-Server aufgezeichnet.
Anweisungen zur Einrichtung eines Protokollservers für die WAN-Boot-Installation finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.
Die Systemkonfigurationsdatei, in der die Speicherorte der sysidcfg- und JumpStart-Dateien enthalten sind, heißt sys-conf.s10–sparc. Diese Datei befindet sich im entsprechenden Client-Unterverzeichnis in der /etc/netboot-Hierarchie.
Nachdem Sie die Datei wanboot.conf erstellt haben, können Sie wahlweise einen DHCP-Server für die Zusammenarbeit mit WAN-Boot einrichten. Eine Anleitung hierzu finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.
Wenn Sie bei Ihrer WAN-Boot-Installation keinen DHCP-Server verwenden möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt So überprüfen Sie den Gerätealias net im Client-OBP fort.
Ausführliche Beschreibungen von Parametern der Datei wanboot.conf und deren Werten finden Sie unter Parameter der Datei wanboot.conf und Syntax und der Manpage wanboot.conf(4).
Kommt in Ihrem Netzwerk ein DHCP-Server zum Einsatz, können Sie diesen so konfigurieren, dass er die folgenden Informationen zur Verfügung stellt:
IP-Adresse des Proxy-Servers
Adresse des Programms wanboot-cgi
Sie können die folgenden DHCP-Herstelleroptionen in der WAN-Boot-Installation verwenden:
Gibt die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.
Informationen zur Einstellung dieser Herstelleroptionen auf einem Solaris-DHCP-Server finden Sie in Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen).
Ausführliche Informationen zum Einrichten eines Solaris DHCP-Servers finden Sie in Kapitel 14, Konfiguration des DHCP-Services (Aufgaben) in Systemverwaltungshandbuch: IP Services.
Zum weiteren Verlauf Ihrer WAN-Boot-Installation lesen Sie Kapitel 13SPARC: Installation mit WAN-Boot (Vorgehen).
In diesem Kapitel wird die Durchführung einer WAN-Boot-Installation auf einem SPARC-Client dargestellt. Informationen zum Vorbereiten einer WAN-Boot-Installation finden Sie in Kapitel 12Installieren mit WAN-Boot (Vorgehen) .
Dieses Kapitel behandelt die folgenden Vorgänge:
In der folgenden Tabelle sind die zur Einrichtung eines Clients über ein WAN erforderlichen Schritte aufgeführt.
Tabelle 13–1 Übersicht der Schritte: Durchführung einer WAN-Boot-Installation
Aufgabe |
Beschreibung |
Siehe |
---|---|---|
Bereiten Sie das Netzwerk für eine WAN-Boot-Installation vor. |
Richten Sie die Server und Dateien ein, die für die WAN-Boot-Installation benötigt werden. | |
Vergewissern Sie sich, dass der Gerätealias net im Client-OBP richtig gesetzt ist. |
Mit dem Befehl devalias überprüfen Sie, ob der Gerätealias net auf die primäre Netzwerkschnittstelle gesetzt ist. | |
Stellen Sie dem Client Schlüssel zur Verfügung. |
Sie stellen dem Client Schlüssel für die Installation zur Verfügung, indem Sie OBP-Variablen setzen oder Schlüsselwerte eingeben. Dieser Schritt ist für die sichere Installationskonfiguration erforderlich. Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel für den Client. | |
Installieren Sie über ein WAN die Software auf dem Client. |
Wählen Sie das für den Client geeignete Installationsverfahren. |
So nehmen Sie eine ungeführte WAN-Boot-Installation vor So nehmen Sie eine interaktive WAN-Boot-Installation vor So nehmen Sie eine WAN-Boot-Installation mit einem DHCP-Server vor So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor |
Führen Sie folgende Schritte durch, um den Client für die Installation vorzubereiten:
Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Dieser Aliasname ist auf den meisten Systemen bereits richtig eingestellt. Ist der Alias jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie ihn ändern.
Weitere Informationen zum Ändern der Alias-Einstellungen finden Sie unter "The Device Tree" in OpenBoot 3.x Command Reference Manual.
Führen Sie die nachfolgenden Schritte durch, um den Gerätealias net auf dem Client zu überprüfen:
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Client an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Bringen Sie das System auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
An der Eingabeaufforderung ok prüfen Sie die im OBP gesetzten Gerätealiasnamen.
ok devalias |
Der Befehl devalias liefert Informationen wie in diesem Beispiel:
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Wenn der Alias net auf das für die Installation zu verwendende Netzwerkgerät gesetzt ist, brauchen Sie ihn nicht ändern. Setzen Sie die Installation mit dem Schritt Installation von Schlüsseln auf dem Client fort.
Ist net jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie den Alias ändern. Fahren Sie fort.
Ändern Sie den Gerätealias net.
Ändern Sie den Gerätealias net mit einem der folgenden Befehle:
Mit den folgenden Befehlen wird der Gerätealias net überprüft und geändert.
Überprüfen Sie die Alias-Einstellungen.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Wenn die Netzwerkschnittstelle /pci@1f,0/pci@1,1/network@5,1 verwendet werden soll, geben Sie folgenden Befehl ein:
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Nachdem Sie das Gerätealias net überprüft haben, fahren Sie mit einem der folgenden Schritte fort:
Wenn Sie für Ihre Installation einen Hashing- und Chiffrierschlüssel verwenden, fahren Sie mit dem Schritt Installation von Schlüsseln auf dem Client fort.
Wenn Sie eine ungesicherte Installation ohne Schlüssel durchführen, fahren Sie mit dem Schritt Installation des Clients fort.
Für eine sicherere WAN-Boot-Installation oder eine unsichere Installation mit Überprüfung der Datenintegrität müssen Schlüssel auf dem Client installiert werden. Die an den Client übertragenen Daten können mit einem Hashing-Schlüssel und einer Verschlüsselung (Chiffrierschlüssel) geschützt werden. Sie können diese Schlüssel mit den folgenden Methoden installieren:
Setzen von OBP-Variablen – Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.
Eingabe der Schlüsselwerte beim Booten – Sie können an der Eingabeaufforderung boot des wanboot-Programms Schlüsselwerte setzen. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.
Schlüssel können auch im OBP eines laufenden Clients installiert werden. Wenn Sie auf einem laufenden Client Schlüssel installieren möchten, muss auf dem System Solaris 9 12/03 oder eine kompatible Version ausgeführt werden.
Wenn Sie Schlüssel auf dem Client installieren, vergewissern Sie sich, dass die Schlüsselwerte nicht über eine unsichere Verbindung gesendet werden. Wenden Sie zur Geheimhaltung der Schlüsselwerte die an Ihrem Standort geltenden Sicherheitsrichtlinien an.
Wie Sie den Variablen von OBP-Netzwerk-Boot-Argumenten Schlüsselwerte zuweisen, erfahren Sie in So installieren Sie Schlüssel im Client-OBP.
Anweisungen zur Installation von Schlüsseln während des Bootens finden Sie in So nehmen Sie eine interaktive WAN-Boot-Installation vor.
Anweisungen zur Installation von Schlüsseln im OBP eines laufenden Clients finden Sie in So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client.
Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.
Führen Sie die nachfolgenden Schritte aus, um Schlüssel im Client-OBP zu installieren.
Gehen Sie wie folgt vor, wenn Sie Variablen für OBP-Netzwerk-Boot-Argumente Schlüsselwerte zuweisen möchten:
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie für jeden Client den Schlüsselwert an.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
IP-Adresse des Teilnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Bringen Sie das Clientsystem auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
An der Eingabeaufforderung ok des Clients setzen Sie den Wert für den Hashing-Schlüssel.
ok set-security-key wanboot-hmac-sha1 key-value |
Installiert den Schlüssel auf dem Client.
Weist das OBP an, einen HMAC SHA1-Hashing-Schlüssel zu installieren.
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Der HMAC SHA1-Hashing-Schlüssel wird im Client-OBP installiert.
Installieren Sie an der Eingabeaufforderung ok des Clients den Chiffrierschlüssel (die Verschlüsselung).
ok set-security-key wanboot-3des key-value |
Installiert den Schlüssel auf dem Client.
Weist das OBP an, eine 3DES-Verschlüsselung zu installieren. Wenn Sie stattdessen eine AES-Verschlüsselung verwenden möchten, setzen Sie diesen Wert auf wanboot-aes.
Gibt den Hexadezimalwert an, der den Chiffrierschlüssel darstellt.
Die 3DES-Verschlüsselung wird im Client-OBP installiert.
Mit der Installation der Schlüssel sind die Vorbereitungen für die Einrichtung des Clients abgeschlossen. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.
(Optional) Vergewissern Sie sich, dass die Schlüssel im Client-OBP gesetzt sind.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Optional) Falls Sie einen Schlüssel löschen müssen, verwenden Sie dazu den folgenden Befehl:
ok set-security-key key-type |
Das folgende Beispiel zeigt, wie ein Hashing- und ein Chiffrierschlüssel im Client-OBP installiert werden.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Kommt in Ihrer Installation eine AES-Verschlüsselung zum Einsatz, dann ändern Sie wanboot-3des in wanboot-aes ab, um den Schlüsselwert anzuzeigen.
Installieren Sie die Schlüssel auf dem Clientsystem.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Diese Befehle führen folgende Aktionen durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Installation des 3DES-Chiffrierschlüssels mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client
Wenn in der Installation eine AES-Verschlüsselung verwendet wird, ändern Sie wanboot-3des in wanboot-aes ab.
Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.
Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).
Sie können Schlüsselwerte auf einem laufenden System an der Eingabeaufforderung boot> des wanboot-Programms eingeben. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.
Wenn Sie sowohl einen Hashing- als auch einen Chiffrierschlüssel im OBP eines laufenden Clients installieren möchten, gehen Sie nach dem folgenden Verfahren vor.
Dabei wird Folgendes vorausgesetzt:
Das Clientsystem ist eingeschaltet.
Der Client ist über eine sichere Verbindung wie z. B. eine Secure Shell (ssh) zugänglich.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie den Schlüsselwert für die Client-Schlüssel an.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
IP-Adresse des Teilnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Client an.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Installieren Sie die erforderlichen Schlüssel auf dem laufenden Clientsystem.
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Nach dem Installieren der Schlüssel können Sie den Client installieren. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.
Das folgende Beispiel zeigt, wie Schlüssel im OBP eines laufenden Clients installiert werden.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.
Installieren Sie die Schlüssel im OBP des laufenden Clients.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Diese Befehle führen folgende Aktionen durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client wanclient-1
Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.
Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).
Weitere Informationen zur Installation von Schlüsseln auf einem laufenden System finden Sie in ickey(1M).
Wenn Sie die Vorbereitung des Netzwerks für die WAN-Boot-Installation abgeschlossen haben, können Sie eines der folgenden Verfahren wählen, um die Client-Installation vorzunehmen.
Tabelle 13–2 Verfahren für die Client-Installation
Methode |
Beschreibung |
Anweisungen |
---|---|---|
Ungeführte Installation |
Dieses Installationsverfahren wenden Sie an, wenn vor dem Booten des Clients die Schlüssel auf ihm installiert und die Client-Konfigurationsinformationen festgelegt werden sollen. |
|
Interaktive Installation |
Dieses Installationsverfahren wenden Sie an, wenn die Client-Konfigurationsinformationen beim Booten gesetzt werden sollen. | |
Installation mit einem DHCP-Server |
Wenden Sie dieses Installationsverfahren an, wenn Sie den DHCP-Server des Netzwerks so konfiguriert haben, dass er bei der Installation die Client-Konfigurationsinformationen zur Verfügung stellt. |
|
Installation mit lokaler CD |
Wenn Ihr Client-OBP keine Unterstützung für WAN-Boot bietet, booten Sie den Client von einer lokalen Kopie der Solaris Software-CD. |
|
Dieses Installationsverfahren wenden Sie an, wenn Sie vorab sowohl die Schlüssel installieren als auch die Client-Konfigurationsinformationen festlegen möchten. Anschließend können Sie den Client über das WAN booten und eine ungeführte Installation vornehmen.
Bei diesem Verfahren wird davon ausgegangen, dass Sie entweder Schlüssel im Client-OBP installiert haben oder eine unsichere Installation durchführen. Wie Sie vor der Installation Schlüssel auf dem Client installieren, erfahren Sie in Installation von Schlüsseln auf dem Client.
Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
Setzen Sie an der Eingabeaufforderung ok auf dem Client die Variablen für die Netzwerk-Boot-Argumente im OBP.
ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL |
Die Zeilenumbrüche in diesem Befehlsbeispiel dienen nur der Übersichtlichkeit. Geben Sie vor dem Ende des Befehls keinen Zeilenumbruch bzw. Wagenrücklauf ein.
Gibt die IP-Adresse und den Port des Proxy-Servers für das Netzwerk an.
Gibt die URL des Programms wanboot-cgi auf dem Webserver an.
Booten Sie den Client.
ok boot net - install |
Weist den Client an, beim Booten über das WAN auf die Variablen der Netzwerk-Boot-Argumente zurückzugreifen.
Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.
Im folgenden Beispiel werden die Variablen der Netzwerk-Boot-Argumente für das Clientsystem myclient vor dem Booten des Systems gesetzt. In diesem Beispiel wird davon ausgegangen, dass auf dem Client bereits ein Hashing- und ein Chiffrierschlüssel installiert sind. Informationen zur Installation von Schlüsseln vor dem Booten über das WAN finden Sie in Installation von Schlüsseln auf dem Client.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Es werden die folgenden Variablen gesetzt:
Die IP-Adresse des Clients wird auf 192.168.198.136 gesetzt.
Die IP-Adresse des Client-Routers wird auf 192.168.198.129 gesetzt.
Die Teilnetzmaske des Clients wird auf 255.255.255.192 gesetzt.
Der Host-Name des Clients wird auf seahag gesetzt.
Das Programm wanboot-cgi befindet sich unter http://192.168.198.135/cgi-bin/wanboot-cgi.
Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).
Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).
Wenden Sie dieses Installationsverfahren an, wenn Sie während der Installation über die Befehlszeile sowohl die Schlüssel installieren als auch die Client-Konfigurationsinformationen setzen möchten.
Bei diesem Verfahren wird davon ausgegangen, dass Sie die WAN-Installation per HTTPS vornehmen. Wenn Sie eine unsichere Installation ohne Schlüssel durchführen, zeigen Sie keine Client-Schlüssel an noch installieren Sie solche.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie für jeden Client den Schlüsselwert an.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Die IP-Adresse des Teilnetzes für den Client, auf dem die Installation erfolgen soll.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.
Setzen Sie an der Eingabeaufforderung ok auf dem Clientsystem die Variablen der Netzwerk-Boot-Argumente im OBP.
ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
Die Zeilenumbrüche in diesem Befehlsbeispiel dienen nur der Übersichtlichkeit. Geben Sie vor dem Ende des Befehls keinen Zeilenumbruch bzw. Wagenrücklauf ein.
Weist das OBP an, die folgenden Boot-Argumente zu setzen:
IP-Adresse des Clients
IP-Adresse des Netzwerk-Routers
Maskenwert des Teilnetzes
Host-Name des Clients
Gibt die IP-Adresse und Port-Nummer des Proxy-Servers für das Netzwerk an.
Gibt die URL des Programms wanboot-cgi auf dem Webserver an.
Der URL-Wert für die Variable bootserver darf keine HTTPS-URL sein. Die URL muss mit http:// beginnen.
Booten Sie an der Eingabeaufforderung ok des Clients das System.
ok boot net -o prompt - install |
Weist den Client an, über das Netzwerk zu booten und zu installieren. Das Programm wanboot fordert den Benutzer zur Eingabe von Client-Konfigurationsinformationen an der Eingabeaufforderung boot> auf.
Die Eingabeaufforderung boot> wird angezeigt.
Installieren Sie den Chiffrierschlüssel.
boot> 3des=key-value |
Gibt den Hexadezimalwert des in Schritt 2 angezeigten 3DES-Schlüssels an.
Wenn Sie mit AES-Verschlüsselung arbeiten, verwenden Sie folgendes Format:
boot> aes=key-value |
Installieren Sie den Hashing-Schlüssel.
boot> sha1=key-value |
Gibt den in Schritt 2 angezeigten Hashing-Schlüsselwert an.
Geben Sie folgenden Befehl ein, um den Boot-Prozess fortzusetzen:
boot> go |
Der Client wird über das WAN installiert.
Wenn Sie dazu aufgefordert werden, geben Sie über die Befehlszeile die benötigten Client-Konfigurationsinformationen an.
Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.
Im folgenden Beispiel fordert das wanboot-Programm den Benutzer während der Installation zum Setzen der Schlüsselwerte für das Clientsystem auf.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.
Setzen Sie die Variablen der Netzwerk-Boot-Argumente im OBP des Clients.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
Es werden die folgenden Variablen gesetzt:
Die IP-Adresse des Clients wird auf 192.168.198.136 gesetzt.
Die IP-Adresse des Client-Routers wird auf 192.168.198.129 gesetzt.
Die Teilnetzmaske des Clients wird auf 255.255.255.192 gesetzt.
Der Host-Name des Clients wird auf myclient gesetzt.
Das Programm wanboot-cgi befindet sich unter http://192.168.198.135/cgi-bin/wanboot-cgi.
Booten Sie den Client und führen Sie die Installation auf ihm durch.
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
Diese Befehle führen folgende Aktionen durch:
Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client wanclient-1
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Start der Installation
Weitere Informationen zum Anzeigen von Schlüsselwerten finden Sie in wanbootutil(1M).
Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).
Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).
Wenn Sie über einen DHCP-Server verfügen, der für die Unterstützung von WAN-Boot-Optionen konfiguriert wurde, können Sie diesen zur Bereitstellung von Client-Konfigurationsinformationen während der Installation einsetzen. Wie Sie einen DHCP-Server für eine WAN-Boot-Installation konfigurieren, erfahren Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.
Dabei wird Folgendes vorausgesetzt:
Das Clientsystem läuft.
Sie haben entweder Schlüssel auf dem Client installiert oder führen eine unsichere Installation durch.
Wie Sie vor der Installation Schlüssel auf dem Client installieren, erfahren Sie in Installation von Schlüsseln auf dem Client.
In der Konfiguration des DHCP-Servers haben Sie die Unterstützung für die WAN-Boot-Optionen SbootURI und SHTTPproxy aktiviert.
Diese Optionen ermöglichen es dem DHCP-Server, die von WAN-Boot benötigten Konfigurationsinformationen zu liefern.
Informationen zum Festlegen von Installationsoptionen auf dem DHCP-Server finden Sie unter Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen).
Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
Setzen Sie an der Eingabeaufforderung ok auf dem Client die Variablen für die Netzwerk-Boot-Argumente im OBP.
ok setenv network-boot-arguments dhcp,hostname=client-name |
Weist das OBP an, die folgenden Boot-Argumente zu setzen:
Weist das OBP an, zur Konfiguration des Clients auf den DHCP-Server zurückzugreifen.
Hiermit geben Sie den Host-Namen an, den Sie dem Client zuweisen möchten.
Booten Sie den Client über das Netzwerk.
ok boot net - install |
Weist den Client an, beim Booten über das WAN auf die Variablen der Netzwerk-Boot-Argumente zurückzugreifen.
Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.
Im folgenden Beispiel stellt der DHCP-Server im Netzwerk die Client-Konfigurationsinformationen bereit. Der Host-Name des Clients lautet in diesem Beispiel myclient.
ok setenv network-boot-arguments dhcp, hostname=myclient ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).
Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).
Weitere Informationen zur Konfiguration eines DHCP-Servers finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.
Wenn das Client-OBP keine Unterstützung für WAN-Boot bietet, können Sie die Installation mit der Solaris Software-1 CD im CD-ROM-Laufwerk des Clients durchführen. Bei Verwendung einer lokalen CD ruft der Client das wanboot-Programm nicht vom WAN-Boot-Server, sondern vom lokalen Datenträger ab.
Bei diesem Verfahren wird davon ausgegangen, dass Sie die WAN-Installation per HTTPS vornehmen. Wenn Sie eine unsichere Installation durchführen, zeigen Sie die Client-Schlüssel weder an noch installieren Sie solche.
Für eine WAN-Boot-Installation von einer lokalen CD befolgen Sie die nachfolgende Anleitung.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie für jeden Client den Schlüsselwert an.
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
Die Netzwerk-IP-Adresse des Clients, auf dem die Installation erfolgen soll.
Die ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Legen Sie die Solaris Software-1 CD in das CD-ROM-Laufwerk des Clients ein.
Schalten Sie das Clientsystem ein.
Booten Sie den Client von der CD.
ok boot cdrom -o prompt -F wanboot - install |
Weist das OBP an, von der lokalen CD-ROM zu booten.
Weist das wanboot-Programm an, den Benutzer zur Eingabe von Client-Konfigurationsinformationen aufzufordern.
Weist das OBP an, das wanboot-Programm von der CD-ROM zu laden.
Weist den Client an, eine WAN-Boot-Installation durchzuführen.
Das OBP des Clients lädt das wanboot-Programm von der Solaris Software-1 CD. Das wanboot-Programm bootet das System, und die Eingabeaufforderung boot> wird angezeigt.
Geben Sie den Verschlüsselungswert ein.
boot> 3des=key-value |
Gibt den Hexadezimalwert des in Schritt 2 angezeigten 3DES-Schlüssels an.
Wenn Sie mit AES-Verschlüsselung arbeiten, verwenden Sie folgendes Format:
boot> aes=key-value |
Geben Sie den Hashing-Schlüsselwert ein.
boot> sha1=key-value |
Gibt den Hexadezimalwert des inSchritt 2 angezeigten Hashing-Schlüssels an.
Setzen Sie die Netzwerkschnittstellen-Variablen.
boot> variable=value[,variable=value*] |
Geben Sie an der Eingabeaufforderung boot> die folgenden Variablen-Wert-Paare ein.
IP-Adresse des Clients
IP-Adresse des Netzwerk-Routers
Maskenwert des Teilnetzes
Host-Name des Clients
Gibt die IP-Adresse und Port-Nummer des Proxy-Servers für das Netzwerk an.
Gibt die URL des Programms wanboot-cgi auf dem Webserver an.
Der URL-Wert für die Variable bootserver darf keine HTTPS-URL sein. Die URL muss mit http:// beginnen.
Sie können diese Variablen mit den folgenden Methoden eingeben:
Geben Sie an der Eingabeaufforderung boot> ein Variablen-Wert-Paar ein und drücken Sie die Eingabetaste.
boot> host-ip=client-IP boot> subnet-mask=mask-value |
Geben Sie an der Eingabeaufforderung boot> alle Variablen-Wert-Paare in eine Zeile ein und drücken Sie die Eingabetaste. Trennen Sie die einzelnen Paare durch Kommata voneinander.
boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
Geben Sie folgenden Befehl ein, um den Boot-Prozess fortzusetzen:
boot> go |
Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.
Im folgenden Beispiel wird der Benutzer während der Installation vom wanboot-Programm auf einer lokalen CD dazu aufgefordert, die Netzwerkschnittstellen-Variablen für den Client zu setzen.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.
Booten Sie den Client und führen Sie die Installation auf ihm durch.
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=myclient boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
Diese Befehle führen folgende Aktionen durch:
Einfügen der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client
Angabe des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 für den Client
Die Client-IP-Adresse wird auf 192.168.198.124 gesetzt.
Die Teilnetzmaske des Clients wird auf 255.255.255.128 gesetzt.
Die IP-Adresse des Client-Routers wird auf 192.168.198.1gesetzt.
Der Host-Name des Clients wird auf myclient gesetzt.
Die Client-ID wird auf 010003BA152A42 gesetzt.
Die Adresse des wanboot-cgi-Programms wird auf http://192.168.198.135/cgi-bin/wanboot-cgi/ gesetzt.
Weitere Informationen zum Anzeigen von Schlüsselwerten finden Sie in wanbootutil(1M).
Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).
Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).
In diesem Kapitel sehen Sie ein Beispiel für eine Installation von Clientsystemen über ein WAN (Wide Area Network). Die Beispiele in diesem Kapitel zeigen, wie Sie eine sichere WAN-Boot-Installation über eine HTTPS-Verbindung vornehmen können.
(Optional) Konfigurieren des WAN-Boot-Servers als Anmeldeserver
Konfiguration des WAN-Boot-Servers für die Verwendung von HTTPS
(Optional) Einsatz von privatem Schlüssel und Zertifikat zur Client-Authentifizierung
Abbildung 14–1 zeigt die Standortkonfiguration für dieses Beispiel.
Dieser Beispielstandort weist die folgenden Merkmale auf:
Der Server wanserver-1 soll gleichzeitig als WAN-Boot- und Installationsserver konfiguriert werden.
Die IP-Adresse von wanserver-1 lautet 192.168.198.2.
Der Domain-Name von wanserver-1 lautet www.Beispiel.com.
Auf wanserver-1 läuft die aktuelle Solaris-Release.
Auf wanserver-1 läuft der Apache-Webserver. Die Konfiguration der Apache-Software auf wanserver-1 bietet HTTPS-Unterstützung.
Der zu installierende Client heißt wanclient-1.
wanclient-1 ist ein UltraSPARCII-System.
Die Client-ID für wanclient-1 lautet 010003BA152A42.
Die IP-Adresse von wanclient-1 lautet 192.168.198.210.
Die IP-Adresse des Client-Teilnetzes lautet 192.168.198.0.
Das Clientsystem wanclient-1 hat Internet-Zugang, ist aber nicht direkt an das Netzwerk angeschlossen, in dem sich wanserver-1 befindet.
wanclient-1 ist ein neues System, auf dem aktuelle Solaris-Release installiert werden soll.
Legen Sie im Dokument-Root-Verzeichnis (/opt/apache/htdocs) auf wanserver-1 folgende Verzeichnisse zum Speichern der Installationsdateien und -daten an.
Solaris Flash-Verzeichnis
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
WAN-Boot-Miniroot-Verzeichnis
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
wanboot-Programmverzeichnis
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild mit dem Befehl setup_install_server(1M) und der Option -w in das Verzeichnis /export/install/Solaris_10 von wanserver-1.
Legen Sie den Solaris Software-Datenträger in das an wanserver-1 angeschlossene Laufwerk ein. Geben Sie die folgenden Befehle ein.
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis (/opt/apache/htdocs/) des WAN-Boot-Servers.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Ermitteln Sie, ob im OBP des Clients WAN-Boot-Unterstützung gegeben ist. Geben Sie dazu auf dem Clientsystem folgenden Befehl ein:
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Die Ausgabe network-boot-arguments: data not available im vorigen Beispiel weist darauf hin, dass das Client-OBP WAN-Boot unterstützt.
Zum Installieren des wanboot-Programms auf dem WAN-Boot-Server kopieren Sie das Programm vom Solaris Software-Datenträger in das Dokument-Root-Verzeichnis des WAN-Boot-Servers.
Legen Sie die Solaris-DVD oder die Solaris Software-1 CD in das an wanserver-1 angeschlossene Laufwerk ein, und geben Sie folgende Befehle ein:
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Erzeugen Sie auf dem WAN-Boot-Server die wanclient-1-Unterverzeichnisse für das Verzeichnis /etc/netboot. Während der Installation rufen die WAN-Boot-Installationsprogramme Konfigurations- und Sicherheitsinformationen aus diesem Verzeichnis ab.
wanclient-1befindet sich im Teilnetz 192.168.198.0 und hat die Client-ID 010003BA152A42. Gehen Sie wie folgt vor, um ein entsprechendes Unterverzeichnis in /etc/netboot für wanclient-1 anzulegen.
Erzeugen Sie das Verzeichnis /etc/netboot.
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
Setzen Sie den Besitzer des Webserver-Prozesses als Besitzer des Verzeichnisses /etc/netboot.
Annehmen der Benutzerrolle des Webserver-Benutzers.
Erzeugen Sie ein Unterverzeichnis in /etc/netboot mit dem Namen des Teilnetzes (192.168.198.0).
Erzeugen eines Unterverzeichnisses im Teilnetzverzeichnis und benennen nach der Client-ID.
Setzen Sie die Berechtigungen für die Unterverzeichnisse von /etc/netboot auf 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Bei Systemen, die aktuelle Solaris-Release ausführen, befindet sich das wanboot-cgi-Programm im Verzeichnis /usr/lib/inet/wanboot/. Damit der WAN-Boot-Server die Installationsdaten übertragen kann, müssen Sie das Programm wanboot-cgi in das Verzeichnis cgi-bin unter dem Webserver-Software-Verzeichnis kopieren.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Standardmäßig werden alle Protokollmeldungen beim WAN-Boot auf dem Clientsystem angezeigt, um eine schnelle Fehlerdiagnose bei Installationsproblemen zu ermöglichen.
Wenn Sie Boot- und Installationsmeldungen auf dem WAN-Boot-Server sehen möchten, kopieren Sie das Skript bootlog-cgi in das Verzeichnis cgi-bin auf wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Wenn Sie bei den WAN-Boot-Installationen mit HTTPS arbeiten möchten, müssen Sie in der Webserver-Software die SSL-Unterstützung aktivieren. Außerdem müssen Sie auf dem WAN-Boot-Server ein digitales Zertifikat installieren. In diesem Beispiel wird angenommen, dass der Apache-Webserver auf wanserver-1 für die Arbeit mit SSL konfiguriert ist. Des Weiteren wird davon ausgegangen, dass ein digitales Zertifikat und eine Zertifizierungsstelle (CA) zur Bestimmung der Identität von wanserver-1 bereits auf wanserver-1 installiert sind.
Beispiele für die Einstellung der SSL-Unterstützung in der Webserver-Software entnehmen Sie bitte der Dokumentation Ihres Webservers.
Indem Sie festlegen, dass sich der Server gegenüber dem Client ausweisen muss, erzielen Sie einen Schutz der Daten, die über HTTPS vom Server an den Client übertragen werden. Zur Server-Authentifizierung liefern Sie dem Client ein vertrauenswürdiges Zertifikat. Auf Grundlage des vertrauenswürdigen Zertifikats kann der Client bei der Installation die Identität des Servers überprüfen.
Um dem Client das vertrauenswürdige Zertifikat zur Verfügung zu stellen, nehmen Sie die Benutzerrolle des Webserver-Benutzers an. Dann teilen Sie das Zertifikat auf und erhalten so das vertrauenswürdige Zertifikat. Fügen Sie dann das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.
In diesem Beispiel nehmen Sie die Benutzerrolle nobody an, da dies die Rolle des Webserver-Benutzers ist. Dann teilen Sie das PKCS#12-Serverzertifikat namens cert.p12 auf und fügen das vertrauenswürdige Zertifikat in das Verzeichnis /etc/netboot für wanclient-1 ein.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Zum weiteren Schutz Ihrer Daten während der Installation können Sie festlegen, dass sich wanclient-1 gegenüber wanserver-1 authentifizieren muss. Zur Aktivierung der Client-Authentifizierung in der WAN-Boot-Installation fügen Sie ein Client-Zertifikat und einen privaten Schlüssel (private key) in das Client-Unterverzeichnis der /etc/netboot-Hierarchie ein.
Gehen Sie wie folgt vor, um dem Client einen privaten Schlüssel und ein Zertifikat zur Verfügung zu stellen.
Nehmen Sie die Benutzerrolle des Webserver-Benutzers an.
Teilen Sie die PKCS#12-Datei in einen privaten Schlüssel und ein Client-Zertifikat auf.
Fügen Sie das Zertifikat in die Datei certstore des Clients ein.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
In diesem Beispiel nehmen Sie die Benutzerrolle nobody an, da dies die Rolle des Webserver-Benutzers ist. Dann teilen Sie das PKCS#12-Serverzertifikat namens cert.p12 auf. Sie fügen das Zertifikat in die /etc/netboot-Hierarchie für wanclient-1 ein. Anschließend fügen Sie den als wanclient.key benannten privaten Schlüssel in die keystore-Datei des Clients ein.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Zum Schutz der Daten, die zwischen Server und Client übertragen werden, erzeugen Sie einen Hashing-Schlüssel und eine Verschlüsselung (d. h. einen Chiffrierschlüssel). Mit dem Hashing-Schlüssel schützt der Server die Integrität des Programms wanboot. Den Chiffrierschlüssel verwendet der Server zum Verschlüsseln der Konfigurations- und Installationsdaten. Mit dem Hashing-Schlüssel prüft der Client die Integrität des heruntergeladenen wanboot-Programms. Der Chiffrierschlüssel dient außerdem dem Client zum Entschlüsseln der Daten bei der Installation.
Nehmen Sie zunächst die Benutzerrolle des Webserver-Benutzers an. In diesem Beispiel die Benutzerrolle nobody.
wanserver-1# su nobody Password: |
Generieren Sie dann mit dem Befehl wanbootutil keygen einen HMAC SHA1-Hauptschlüssel für wanserver-1.
wanserver-1# wanbootutil keygen -m |
Erzeugen Sie dann einen Hashing-Schlüssel und eine Verschlüsselung für wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Der vorige Befehl generiert einen HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für wanclient-1. 192.168.198.0 ist das Teilnetz von wanclient-1, 010003BA152A42 die Client-ID von wanclient-1.
In diesem Beispiel erzeugen Sie ein Solaris Flash-Archiv, indem Sie das wanserver-1-Master-System klonen. Das Archiv erhält den Namen sol_10_sparc und wird 1:1 vom Master-System kopiert. Es stellt ein exaktes Duplikat des Master-Systems dar. Das fertige Archiv wird in sol_10_sparc.flar gespeichert. Sie speichern das Archiv im Unterverzeichnis flash/archives des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Für die Vorkonfiguration des Systems wanclient-1 geben Sie in der Datei sysidcfg Schlüsselwörter und Werte an. Speichern Sie diese Datei im passenden Unterverzeichnis des Dokument-Root-Verzeichnisses auf wanserver-1.
Das folgende Beispiel zeigt eine mögliche sysidcfg-Datei für wanclient-1. Host-Name, IP-Adresse und Netzmaske dieser Systeme wurden durch Bearbeitung des Naming Service vorkonfiguriert. Diese Datei befindet sich im Verzeichnis /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Erstellen Sie für das System wanclient-1 ein Profil namens wanclient_1_prof. Die Datei wanclient_1_prof enthält die folgenden Einträge, die definieren, wie die 10 9/10-Software auf dem System wanclient-1 installiert werden soll.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.
Das Profil installiert ein Solaris Flash-Archiv auf dem Klonsystem. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.
Das komprimierte Solaris Flash-Archiv wird von wanserver-1 abgerufen.
Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.
Aus der Datei rules wählen die Programme für die benutzerdefinierte JumpStart-Installation das richtige Profil für das System wanclient-1 aus. Erzeugen Sie eine Textdatei namens rules. Fügen Sie dann Schlüsselwörter und Werte in diese Datei ein.
Die IP-Adresse von wanclient-1 lautet 192.168.198.210, die Netzmaske 255.255.255.0. Mit dem Schlüsselwort network geben Sie an, welches Profil die Programme für die benutzerdefinierte JumpStart-Installation zur Installation von wanclient-1 verwenden sollen.
network 192.168.198.0 - wanclient_1_prof - |
Die rules-Datei legt damit fest, dass die Programme für die benutzerdefinierte JumpStart-Installation das Profil wanclient_1_prof verwenden sollen, um die aktuelle Solaris-Release-Software auf wanclient-1 zu installieren.
Nennen Sie diese Datei wanclient_rule.
Wenn Sie das Profil und die rules-Datei erzeugt haben, führen Sie das check-Skript aus, um die Gültigkeit der Dateien zu überprüfen.
wanserver-1# ./check -r wanclient_rule |
Wenn das Skript check keine Fehler findet, erstellt es die Datei rules.ok.
Speichern Sie die Datei rules.ok im Verzeichnis /opt/apache/htdocs/flash/.
Erzeugen Sie eine Systemkonfigurationsdatei, in der die Adresse der Datei sysidcfg und der JumpStart-Dateien auf dem Installationsserver angegeben sind. Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
In folgendem Beispiel sucht das Programm wanboot-cgi die Datei sysidcfg und die JumpStart-Dateien im Dokument-Root-Verzeichnis des WAN-Boot-Servers. Der Domain-Name des WAN-Boot-Servers lautet https://www.Beispiel.com. Der WAN-Boot-Server ist für die Verwendung von sicherem HTTP konfiguriert, so dass die Daten und Dateien bei der Installation geschützt sind.
In diesem Beispiel lautet der Name der Systemkonfigurationsdatei sys-conf.s10–sparc, und die Datei wurde in der /etc/netboot-Hierarchie des WAN-Boot-Servers gespeichert. Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
Bei der Installation des Clientsystems greift WAN-Boot auf die Konfigurationsinformationen in der Datei wanboot.conf zurück. Erzeugen Sie die Datei wanboot.conf in einem Texteditor. Speichern Sie die Datei im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Die folgende wanboot.conf-Datei für wanclient-1 enthält Konfigurationsinformationen für eine WAN-Installation, die sicheres HTTP verwendet. Die Datei bestimmt außerdem, dass die Daten bei der WAN-Boot-Installation mit einem HMAC SHA1-Hashing-Schlüssel und einer 3DES-Verschlüsselung zu schützen sind.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das wanboot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis wanboot des Dokument-Root-Verzeichnisses auf wanserver-1.
Die Adresse des Programms wanboot-cgi auf wanserver-1 lautet https://www.Beispiel.com/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.
Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Verzeichnis miniroot des Dokument-Root-Verzeichnisses auf wanserver-1.
Das wanboot-Programm und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.
Das wanboot-Programm und das WAN-Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.
Der Server wird bei der Installation authentifiziert.
Der Client wird bei der Installation nicht authentifiziert.
Wenn Sie die unter (Optional) Einsatz von privatem Schlüssel und Zertifikat zur Client-Authentifizierung beschriebenen Schritte ausgeführt haben, setzen Sie diesen Parameter auf client_authentication=yes.
Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle Host-Namen, die das Programm wanboot-cgi benötigt, sind in der Datei wanboot.conf und im Client-Zertifikat angegeben.
Boot- und Installations-Protokollmeldungen werden auf der Systemkonsole angezeigt. Wenn Sie den Protokollserver in (Optional) Konfigurieren des WAN-Boot-Servers als Anmeldeserver konfiguriert haben und die WAN-Boot-Meldungen auch auf dem WAN-Boot-Server angezeigt werden sollen, setzen Sie diesen Parameter auf boot_logger=https://www.Beispiel.com/cgi-bin/bootlog-cgi.
Die Systemkonfigurationsdatei, in der die Speicherorte der sysidcfg- und JumpStart-Dateien angegeben werden, befindet sich in der Datei sys-conf.s10–sparc in der /etc/netboot-Hierarchie auf wanserver-1.
In diesem Beispiel wurde die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.198.0/010003BA152A42 auf wanserver-1 gespeichert.
Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Geben Sie an der Eingabeaufforderung ok des Clients den Befehl devalias ein, und prüfen Sie, ob der Aliasname net auf das primäre Netzwerkgerät /pci@1f,0/pci@1,1/network@c,1 gesetzt ist.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
In dieser Beispielausgabe ist dem Alias net das primäre Netzwerkgerät /pci@1f,0/pci@1,1/network@c,1 zugewiesen. Sie müssen ihn also nicht ändern.
In Erzeugen der Schlüssel für Server und Client haben Sie einen Hashing-Schlüssel und eine Verschlüsselung (den Chiffrierschlüssel) zum Schutz der Daten während der Installation erzeugt. Diese Schlüssel müssen auf wanclient-1 installiert werden, damit der Client die von wanclient-1 übertragenen Daten entschlüsseln kann.
Zeigen Sie auf wanserver-1 die Schlüsselwerte an.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.
Installieren Sie die Schlüssel an der Befehlseingabe ok auf wanclient-1.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Diese Befehle führen folgende Aktionen durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf wanclient-1
Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf wanclient-1
Sie können eine ungeführte Installation durchführen, indem Sie an der Eingabeaufforderung ok die Netzwerk-Boot-Variablen für wanclient-1 setzen und den Client dann booten.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Es werden die folgenden Variablen gesetzt:
Die IP-Adresse des Clients wird auf 192.168.198.210 gesetzt.
Die IP-Adresse des Client-Routers wird auf 192.168.198.1 gesetzt.
Die Teilnetzmaske des Clients wird auf 255.255.255.0 gesetzt.
Der Host-Name des Clients wird auf wanclient-1 gesetzt.
Das Programm wanboot-cgi befindet sich unter http://192.168.198.2/cgi-bin/wanboot-cgi.
Der Client wird über das WAN installiert. Wenn das wanboot-Programm nicht alle erforderlichen Installationsinformationen findet, werden Sie möglicherweise dazu aufgefordert, die fehlenden Informationen an der Befehlszeile einzugeben.
Dieses Kapitel bietet eine kurze Darstellung der Befehle und Dateien, die bei einer WAN-Installation eingesetzt werden.
In den folgenden Tabellen sind die Befehle beschrieben, die Sie bei einer WAN-Boot-Installation verwenden.
Tabelle 15–1 Vorbereitung der WAN-Boot-Installations- und KonfigurationsdateienTabelle 15–2 Vorbereitung der WAN-Boot-Sicherheitsdateien
In der folgenden Tabelle sind die OBP-Befehle aufgeführt, die Sie für eine WAN-Boot-Installation an der Eingabeaufforderung ok auf dem Client eingeben können.
Tabelle 15–3 OBP-Befehle für die WAN-Boot-Installation
Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:
sysidcfg
rules.ok
Profil für die benutzerdefinierte JumpStart-Installation
Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:
setting=value
Die Datei system.conf muss die folgenden Einstellungen enthalten:
Diese Einstellung verweist auf das Verzeichnis auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Diese Einstellung verweist auf das JumpStart-Verzeichnis, das die Datei rules.ok und die Profildateien enthält. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Die Datei system.conf kann in jedem für den WAN-Boot-Server zugänglichen Verzeichnis gespeichert werden.
Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Installationsprogramme für die Durchführung einer WAN-Installation zugreifen. Bei der Installation des Clientsystems greifen die folgenden Programme und Dateien auf die Informationen in der Datei wanboot.conf zurück:
Programm wanboot-cgi
WAN-Boot-Dateisystem
WAN-Boot-Miniroot
Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Zur Angabe von Informationen in der Datei wanboot.conf führen Sie Parameter und die dazugehörigen Werte in folgendem Format auf:
parameter=value
Parametereinträge dürfen sich nicht über mehrere Zeilen erstrecken. Durch Voranstellen des Zeichens # können Sie Kommentare in die Datei einfügen.
Ausführliche Informationen über die Datei wanboot.conf finden Sie in der Manpage wanboot.conf(4).
In der Datei wanboot.conf müssen die folgenden Parameter gesetzt werden:
Mit diesem Parameter geben Sie den Pfad zum wanboot-Programm an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.
boot_file=/wanboot/wanboot.s10_sparc
Mit diesem Parameter geben Sie die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.
Für eine WAN-Boot-Installation ohne Client- oder Server-Authentifizierung geben Sie eine HTTP-URL an.
root_server=http://www.example.com/cgi-bin/wanboot-cgi
Verwenden Sie eine HTTPS-URL, wenn Sie eine WAN-Boot-Installation mit Server- oder mit Server- und Client-Authentifizierung durchführen.
root_server=https://www.example.com/cgi-bin/wanboot-cgi
Mit diesem Parameter geben Sie den Pfad zur WAN-Boot-Miniroot auf dem WAN-Boot-Server an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.
root_file=/miniroot/miniroot.s10_sparc
Mit diesem Parameter geben Sie den Typ des für die Integritätsprüfung der übertragenen Daten und Dateien einzusetzenden Hashing-Schlüssels an.
Mit diesem Parameter geben Sie den gewünschten Chiffrierschlüsseltyp für die Verschlüsselung des wanboot-Programms und des WAN-Boot-Dateisystems an.
Für WAN-Boot-Installationen per HTTPS setzen Sie diesen Wert auf 3des oder aes, je nachdem, welches Schlüsselformat Sie verwenden. Außerdem muss der Wert des Schlüsselworts signature_type auf sha1 gesetzt werden.
encryption_type=3des
oder
encryption_type=aes
Wenn Sie eine unsichere WAN-Boot-Installation ohne Verschlüsselung durchführen möchten, lassen Sie diesen Wert leer.
encryption_type=
Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Server-Authentifizierung stattfinden soll.
Für WAN-Boot-Installationen mit Server- oder mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.
server_authentication=yes
Für unsichere WAN-Boot-Installationen ohne Server- oder Server- und Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.
server_authentication=no
Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Client-Authentifizierung stattfinden soll.
Für WAN-Boot-Installationen mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.
client_authentication=yes
Für WAN-Boot-Installationen ohne Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.
client_authentication=no
Mit diesem Parameter geben Sie weitere Host-Namen an, die während der Installation für das Programm wanboot-cgi aufgelöst werden müssen.
Setzen Sie diesen Wert auf die Host-Namen der Systeme, die in der Datei wanboot.conf oder einem etwaigen Client-Zertifikat noch nicht angegeben wurden.
Wenn alle erforderlichen Hosts bereits in der Datei wanboot.conf oder dem Client-Zertifikat aufgeführt sind, lassen Sie diesen Wert leer.
resolve_hosts=
Wenn bestimmte Systeme in der Datei wanboot.conf oder dem Client-Zertifikat nicht aufgeführt sind, setzen Sie diesen Wert auf die Host-Namen dieser Systeme.
resolve_hosts=seahag,matters
Mit diesem Parameter geben Sie die URL des Skripts bootlog-cgi auf dem Protokollserver an.
Um Boot- oder Installationsprotokollmeldungen auf einem speziellen Protokollserver aufzeichnen zu lassen, setzen Sie den Wert auf die URL des Skripts bootlog-cgi auf dem Protokollserver.
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
Wenn die Boot- und Installationsmeldungen auf der Client-Konsole angezeigt werden sollen, lassen Sie diesen Wert leer.
boot_logger=
Mit diesem Parameter geben Sie den Pfad zu der Systemkonfigurationsdatei an, in der die Adressen der Datei sysidcfg und der JumpStart-Dateien zu finden sind.
Setzen Sie den Wert dieses Pfads auf die Datei sysidcfg und die JumpStart-Dateien auf dem Webserver.
system_conf=sys.conf