Partie III Installation sur un réseau WAN

Cette partie explique comment utiliser la méthode d'installation et d'initialisation via une connexion WAN pour installer un système sur un réseau WAN (Wide Area Network).

Chapitre 10 Initialisation via connexion WAN - Présentation

Ce chapitre propose une vue d'ensemble de la méthode d'installation et initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :

• Qu'est-ce que l'Initialisation via connexion WAN ?

• Quand utiliser l'Initialisation via connexion WAN ?

• Fonctionnement de l'Initialisation via connexion WAN - Présentation

• Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation

Qu'est-ce que l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'initialiser et d'installer un logiciel via un réseau étendu à l'aide du protocole HTTP. Lorsque vous utilisez la méthode d'initialisation via une connexion WAN, il vous est possible d'installer le système d'exploitation Solaris sur des systèmes SPARC via un réseau public de très grande taille, même si l'infrastructure de ce réseau n'est pas fiable. Vous pouvez combiner l'initialisation via une connexion WAN avec des fonctions de sécurité afin de préserver la confidentialité des données et l'intégrité de l'image d'installation.

La méthode d'installation et d'initialisation via connexion WAN vous permet de transmettre une archive Solaris Flash cryptée via un réseau public à un client SPARC distant. Les programmes d'initialisation via connexion WAN installent alors le système client par l'intermédiaire d'une installation JumpStart personnalisée. Pour protéger l'ensemble de l'installation, vous pouvez utiliser des clés privées afin d'authentifier et de crypter les données. Vous pouvez également transmettre vos données et fichiers d'installation via une connexion HTTP sécurisée en configurant vos systèmes pour qu'ils utilisent des certificats numériques.

Pour effectuer une installation et Initialisation via connexion WAN, installez un système SPARC en téléchargeant les informations présentées ci-après à partir d'un serveur Web via une connexion HTTP ou HTTP sécurisée.

• wanboot, programme – Le programme wanboot est le programme d'initialisation de second niveau permettant de charger la miniracine d'initialisation via une connexion WAN, les fichiers de configuration client ainsi que les fichiers d'installation. Le programme wanboot effectue des tâches similaires à celles des programmes d'initialisation de second niveau ufsboot ou inetboot.

• Système de fichiers d'initialisation via une connexion WAN : le programme wanboot utilise plusieurs fichiers différents afin de configurer le client et d'extraire les données permettant d'installer le système client. Ces fichiers se trouvent dans le répertoire /etc/netboot du serveur Web. Le programme wanboot-cgi transmet ces fichiers au client sous la forme d'un système de fichiers, appelé système de fichiers d'initialisation via une connexion WAN.

• Miniracine de l'initialisation via une connexion WAN : il s'agit d'une version modifiée de la miniracine Solaris permettant d'effectuer une installation et initialisation via une connexion WAN. Comme la miniracine de Solaris, elle contient un noyau et juste assez de logiciel pour installer l'environnement Solaris. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris.

• Fichiers de configuration JumpStart personnalisée : pour installer le système, l'initialisation via connexion WAN transmet au client sysidcfg, rules.ok, ainsi que les fichiers de profils. L'initialisation via connexion WAN utilise ensuite ces fichiers pour effectuer une installation JumpStart personnalisée sur le système client.

• Archive Solaris Flash : ensemble de fichiers copié à partir d'un système maître. Vous pouvez utiliser cette archive pour installer un système client. L'initialisation via connexion WAN utilise la méthode d'installation JumpStart personnalisée pour installer une archive Solaris Flash sur le système client. Après l'installation d'une archive sur un système client, ce système adopte la configuration exacte du système maître.

  ---

  Remarque –

  La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.

  Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

  ---

Vous installez ensuite l'archive sur le système client à l'aide de la méthode d'installation JumpStart personnalisée.

Vous pouvez protéger le transfert des informations précédemment répertoriées grâce à des clés et des certificats numériques.

Pour obtenir une description complète du déroulement des événements lors d'une installation et initialisation via une connexion WAN, reportez-vous à la section Fonctionnement de l'Initialisation via connexion WAN - Présentation .

Quand utiliser l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'installer des systèmes SPARC éloignés géographiquement. Vous pouvez souhaiter utiliser l'initialisation via connexion WAN pour installer des serveurs ou clients distants accessibles uniquement via un réseau public.

Si vous souhaitez installer des systèmes situés sur votre réseau local, la méthode d'installation et initialisation via connexion WAN peut requérir une configuration et une administration plus importantes que d'ordinaire. Pour plus d'informations sur la procédure d'installation des systèmes sur un réseau local, reportez-vous au Chapitre 4Installation réseau - Présentation.

Fonctionnement de l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN utilise un ensemble de serveurs, de fichiers de configuration, de programmes CGI (Common Gateway Interface) et de fichiers d'installation pour installer un client SPARC distant. Cette section décrit le déroulement général des événements lors d'une installation et Initialisation via connexion WAN.

Déroulement des événements lors d'une installation et Initialisation via connexion WAN

La Figure 10–1 indique le déroulement normal des événements lors d'une installation et initialisation via une connexion WAN. Elle présente l'extraction des données de configuration et des fichiers d'installation par un client SPARC à partir d'un serveur Web et d'un serveur d'installation via connexion WAN.

Figure 10–1 Déroulement des événements lors d'une installation et initialisation via connexion WAN

1. Vous pouvez initialiser le client de l'une des manières suivantes :

   • initialiser à partir du réseau en définissant des variables d'interface réseau dans l'OBP (PROM Open Boot) ;

   • initialiser à partir du réseau avec l'option DHCP ;

   • initialiser à partir d'un CD local.

2. Le client OBP obtient des informations de configuration à partir d'une des sources suivantes :

   • les valeurs de l'argument d'initialisation entrées dans la ligne de commande par l'utilisateur ;

   • le serveur DHCP, si le réseau utilise DHCP.

3. Le client OBP requiert le programme d'initialisation de second niveau de l'initialisation via connexion WAN (wanboot).

   Le client OBP télécharge le programme wanboot à partir des sources suivantes :

   • un serveur Web particulier, appelé serveur d'initialisation via connexion WAN, à l'aide du protocole HTTP ;

   • un CD-ROM local (non indiqué sur la figure).

4. Le programme wanboot demande les informations de configuration client au serveur d'initialisation via connexion WAN.

5. Le programme wanboot télécharge les fichiers de configuration transmis par le programme wanboot-cgi à partir du serveur d'initialisation via connexion WAN. Ces fichiers sont transmis au client sous la forme d'un système de fichiers d'initialisation via connexion WAN.

6. Le programme wanboot demande le téléchargement de la miniracine de l'initialisation via connexion WAN au serveur d'initialisation via connexion WAN.

7. Il la télécharge à partir du serveur d'initialisation via connexion WAN à l'aide du protocole HTTP ou HTTP sécurisé.

8. Il charge et exécute le noyau UNIX à partir de la miniracine de l'initialisation via connexion WAN.

9. Le noyau UNIX place et monte le système de fichiers d'initialisation via connexion WAN destiné à être utilisé par le programme d'installation de Solaris.

10. Le programme d'installation demande le téléchargement d'une archive Solaris Flash et de fichiers JumpStart personnalisés à un serveur d'installation.

    Il télécharge l'archive et les fichiers JumpStart personnalisés via connexion HTTP ou HTTPS.

11. Il effectue une installation JumpStart personnalisée pour installer l'archive Solaris Flash sur le client.

Protection des données lors d'une installation et Initialisation via connexion WAN

La méthode d'installation et initialisation via connexion WAN vous permet d'utiliser des clés de hachage, des clés de chiffrement et des certificats numériques pour protéger vos données système lors de l'installation. Cette section décrit brièvement les différentes méthodes de protection des données prises en charge par la méthode d'installation et initialisation via connexion WAN.

Vérification de l'intégrité des données à l'aide d'une clé de hachage

Pour protéger les données que vous transmettez au client depuis le serveur d'initialisation via une connexion WAN, vous pouvez générer une clé HMAC (Hashed Message Authentication Code). Vous installez cette clé de hachage à la fois sur le serveur d'initialisation via connexion WAN et sur le client. Le serveur d'initialisation via connexion WAN utilise cette clé pour signer les données à transmettre au client. Le client l'utilise alors pour vérifier l'intégrité des données transmises par le serveur d'initialisation via connexion WAN. Après l'installation d'une clé de hachage sur un client, celui-ci l'utilise pour les prochaines installations et initialisations via connexion WAN.

Pour plus d'informations sur l"utilisation d'une clé de hachage, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Chiffrement de données à l'aide de clés de chiffrement

méthode d'installation et initialisation via connexion WAN permet de chiffrer les données que vous transmettez au client à partir du serveur d'initialisation via une connexion WAN. Vous pouvez utiliser les services de l'initialisation via connexion WAN pour créer une clé 3DES (Triple Data Encryption Standard) ou AES (Advanced Encryption Standard). Vous pouvez ensuite fournir cette clé au serveur d'Initialisation via connexion WAN et au client. L'initialisation via connexion WAN utilise cette clé de chiffrement pour chiffrer les données envoyées au client à partir du serveur d'Initialisation via connexion WAN. Le client peut alors utiliser cette clé pour déchiffrer les fichiers de configuration et les fichiers de sécurité chiffrés transmis lors de l'installation.

Après l'installation d'une clé de chiffrement sur un client, celui-ci l'utilise pour une prochaine installation et Initialisation via connexion WAN.

Votre site ne permet peut-être pas l'utilisation de clés de chiffrement. Pour le savoir, adressez-vous à l'administrateur de la sécurité de votre site. Si votre site permet le chiffrement, demandez à l'administrateur de la sécurité quel type de clé de chiffrement vous devez utiliser : 3DES ou AES.

Pour plus d'informations sur l'utilisation des clés de chiffrement, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Protection de données à l'aide d'HTTPS

L'initialisation via connexion WAN prend en charge l'utilisation d'HTTP via SSL (HTTPS) pour le transfert de données entre le serveur d'Initialisation via connexion WAN et le client. Quand vous utilisez HTTPS, vous pouvez demander au serveur, ou à la fois au serveur et au client, de s'authentifier lors de l'installation. HTTPS chiffre également les données transférées du serveur au client lors de l'installation.

Le protocole HTTPS utilise des certificats numériques pour authentifier les systèmes qui échangent des données via le réseau. Un certificat numérique est un fichier identifiant un système, serveur ou client, comme un système sûr pour la communication en ligne. Vous pouvez demander un certificat numérique à une autorité de certification extérieure ou créer votre propre certificat et votre propre autorité de certification.

Pour permettre au client d'autoriser le serveur et d'en accepter les données, vous devez installer un certificat numérique sur le serveur. Vous donnez ensuite l'instruction au client d'autoriser ce certificat. Vous pouvez également demander au client de s'authentifier lui-même auprès des serveurs en lui fournissant un certificat numérique. Vous donnez alors l'instruction au serveur d'accepter le signataire du certificat lorsque le client le présente lors de l'installation.

Pour utiliser des certificats numériques lors de l'installation, vous devez configurer votre serveur Web afin qu'il utilise HTTPS. Consultez la documentation de votre serveur Web pour obtenir des informations concernant l'utilisation d'HTTPS.

Pour de plus amples informations sur les conditions d'utilisation des certificats numériques lors de l'installation et initialisation via une connexion WAN, reportez-vous à la section Exigences des certificats numériques. Pour plus d'informations sur l'utilisation des certificats numériques dans votre installation et Initialisation via connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN prend en charge différents niveaux de sécurité. Vous pouvez utiliser une combinaison des fonctions de sécurité prises en charge selon les besoins de votre réseau. Une configuration fortement sécurisée est plus lourde à administrer, mais les données de votre système sont mieux protégées. S'il s'agit d'un système sensible ou connecté à un réseau public de grande taille, choisissez la configuration indiquée dans la section Configuration d'une installation et Initialisation via connexion WAN sécurisée. En revanche, s'il s'agit d'un système moins sensible, ou s'il s'agit d'un système connecté à un réseau semi-privé, optez plutôt pour la configuration de la section Configuration d'une installation et Initialisation via connexion WAN non sécurisée.

Cette section décrit brièvement les différentes configurations possibles pour définir le niveau de sécurité de votre installation et Initialisation via connexion WAN. Elle décrit également les mécanismes de sécurité requis par ces configurations.

Configuration d'une installation et Initialisation via connexion WAN sécurisée

Cette configuration protège l'intégrité des données échangées entre le serveur et le client, et permet de préserver la confidentialité du contenu de l'échange. Elle utilise une connexion HTTPS, ainsi que l'algorithme 3DES ou AES pour chiffrer les fichiers de configuration client. Elle requiert également l'authentification du serveur auprès du client lors de l'installation. Une installation et initialisation via connexion WAN sécurisée requiert les fonctions de sécurité suivantes :

• HTTPS sur le serveur d'Initialisation via connexion WAN et le serveur d'installation ;

• clé de hachage HMAC SHA1 sur le serveur d'Initialisation via connexion WAN et le client ;

• clé de chiffrement 3DES ou AES pour le serveur d'Initialisation via connexion WAN et le client ;

• certificat numérique issu d'une autorité de certification pour le serveur d'Initialisation via connexion WAN.

Si vous souhaitez requérir l'authentification du client lors de l'installation, vous devez également utiliser les fonctions de sécurité suivantes :

• clé privée pour le serveur d'Initialisation via connexion WAN ;

• certificat numérique pour le client.

Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–1.

Configuration d'une installation et Initialisation via connexion WAN non sécurisée

Cette configuration de sécurité requiert un effort moindre au niveau de l'administration, mais fournit le transfert de données entre le serveur et le client le moins sécurisé. Vous n'avez pas besoin de créer de clé de hachage, de clé de chiffrement ni de certificat numérique. De même, vous n'avez pas besoin de configurer votre serveur Web pour qu'il utilise HTTPS. Cependant, cette configuration transfère les données et les fichiers d'installation via une connexion HTTP, ce qui rend votre installation vulnérable aux interceptions sur le réseau.

Si vous voulez que le client vérifie l'intégrité des données transmises, vous pouvez utiliser une clé de hachage HMAC SHA1 avec cette configuration. Cependant, l'archive Solaris Flash n'est pas protégée par la clé de hachage. Au cours de l'installation, l'archive est transférée de façon non sécurisée entre le serveur et le client.

Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–2.

Chapitre 11 Préparation de l'installation et Initialisation via connexion WAN – Planification

Ce chapitre décrit la préparation de votre réseau pour une installation et Initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :

• Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN

• Limitations de sécurité de l'Initialisation via connexion WAN

• Collecte d'informations pour les installations et initialisations via une connexion WAN

Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN

Cette section décrit la configuration système requise pour procéder à l'installation de Initialisation via connexion WAN.

Configuration requise et directives relatives au logiciel du serveur Web

Le logiciel du serveur Web que vous utilisez sur le serveur de l'initialisation via connexion WAN et le serveur d'installation doivent répondre aux exigences suivantes :

• Exigences relatives au système d'exploitation : l'initialisation via une connexion WAN fournit un programme CGI (wanboot-cgi) convertissant les données et fichiers au format spécifique attendu par la machine client. Pour réaliser une installation et initialisation via une connexion WAN à l'aide de ces scripts, le logiciel du serveur Web doit fonctionner sous le système d'exploitation Solaris 9 12/03, ou une version compatible.

• Limitation de la taille des fichiers : le logiciel du serveur Web peut limiter la taille des fichiers transmissibles via HTTP. Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.

  ---

  Remarque –

  La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.

  Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

  ---

• Prise en charge du SSL : si vous souhaitez utiliser l'HTTPS pour votre installation et initialisation via une connexion WAN, le logiciel du serveur Web doit prendre en charge la version 3 du SSL.

Options du serveur de configuration

Vous pouvez personnaliser la configuration des serveurs nécessaires à l'installation et initialisation via connexion WAN en fonction des besoins de votre réseau. Vous pouvez héberger tous les serveurs sur un seul système ou les placer sur des systèmes différents.

• Serveur unique : si vous souhaitez centraliser les données et fichiers d'initialisation via connexion WAN sur un seul système, vous pouvez héberger tous les serveurs sur la même machine. Vous pouvez administrer tous vos serveurs sur un seul système et seul un système doit être configuré comme serveur Web. Toutefois, un seul serveur pourrait ne pas être en mesure d'assurer le trafic d'un grand nombre d'installations et initialisations via connexion WAN réalisées simultanément.

• Plusieurs serveurs : si vous souhaitez répartir les données et fichiers d'installation sur l'ensemble du réseau, vous pouvez héberger ces serveurs sur plusieurs machines. Vous pouvez configurer un serveur d'initialisation via connexion WAN central et configurer plusieurs serveurs d'installation pour héberger les archives Solaris Flash sur le réseau. Si le serveur d'installation et le serveur de journalisation sont hébergés sur des machines indépendantes, ils doivent être configurés comme serveurs Web.

Stockage des fichiers d'installation et de configuration dans le répertoire document racine

Au cours d'une installation et initialisation via connexion WAN, le programme wanboot-cgi transmet les fichiers suivants :

• programme wanboot ;

• miniracine de l'initialisation via connexion WAN ;

• fichiers JumpStart personnalisés ;

• archive Solaris Flash.

Pour activer le programme wanboot-cgi pour la transmission de ces fichiers, ces derniers doivent être stockés dans un répertoire accessible au logiciel du serveur Web. Vous pouvez rendre ces fichiers accessibles en les plaçant dans le répertoire racine document de votre serveur Web.

Le répertoire document racine ou de documents principal permet de stocker sur votre serveur Web les fichiers auxquels vous souhaitez que les clients aient accès. Vous pouvez nommer et configurer ce répertoire dans le logiciel de votre serveur Web. Consultez la documentation de votre serveur Web pour de plus amples informations sur la définition du répertoire document racine sur votre serveur Web.

Plusieurs sous-répertoires peuvent être créés dans ce répertoire afin de stocker les différents fichiers d'installation et de configuration. Vous pouvez par exemple créer des sous-répertoires spécifiques pour chaque groupe de clients à installer. Si vous souhaitez installer plusieurs versions différentes du système d'exploitation Solaris sur votre réseau, il vous est possible de créer un sous-répertoire pour chaque version.

La Figure 11–1 présente une structure simple de répertoire document racine à titre d'exemple. Dans cet exemple, le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur la même machine. Le serveur utilise le logiciel de serveur Web Apache.

Figure 11–1 Exemple de structure d'un répertoire document racine

Cet exemple de répertoire document utilise la structure suivante :

• Le répertoire /opt/apache/htdocs est le répertoire document racine.

• Le répertoire de la miniracine de l'initialisation via une connexion WAN (miniroot) contient la miniracine de l'initialisation via une connexion WAN.

• Le répertoire wanboot contient le programme wanboot.

• Le répertoire Solaris Flash (flash) contient les fichiers JumpStart personnalisée nécessaires à l'installation du client et du sous-répertoire archives. Le répertoire archives contient l'archive version Solaris actuelle Flash.

Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur des systèmes différents, le répertoire flash peut être stocké sur le serveur d'installation. Assurez-vous alors que ces fichiers et répertoires sont accessibles au serveur d'initialisation via connexion WAN.

Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour plus d'informations sur la création et le stockage de ces fichiers d'installation, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot

Le répertoire /etc/netboot contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification requis pour une installation et initialisation via connexion WAN. Cette section décrit les fichiers et répertoires que vous pouvez créer dans le répertoire /etc/netboot pour personnaliser l'installation et initialisation via connexion WAN.

Personnalisation de l'installation et initialisation via une connexion WAN

Au cours de l'installation, le programme wanboot-cgi recherche les informations client dans le répertoire /etc/netboot du serveur d'initialisation via une connexion WAN. Le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN, puis transmet ce dernier au client. Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via une connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.

• Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients de votre réseau, stockez les fichiers de configuration à partager dans le répertoire /etc/netboot.

• Configuration réseau : si vous souhaitez que les informations de configuration ne soient partagées que par les ordinateurs d'un sous-réseau donné, stockez les fichiers de configuration à partager dans un sous-réperoire du répertoire /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client. Si vous souhaitez par exemple que tous les systèmes du sous-réseau dont l'adresse IP est 192.168.255.0 partagent les mêmes fichiers de configuration, créez un répertoire /etc/netboot/192.168.255.0 pour y stocker les fichiers de configuration.

• Configuration client spécifique : si vous souhaitez qu'un client spécifique utilise le système de fichiers d'initialisation, stockez les fichiers du système d'initialisation dans un sous-répertoire du répertoire /etc/netboot . Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip/client-ID

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur. Si vous souhaitez par exemple qu'un système dont l'ID client est 010003BA152A42 sur le sous-réseau 192.168.255.0, utilise des fichiers de configuration spécifiques, créez un répertoire /etc/netboot/192.168.255.0/010003BA152A42 . pour y stocker les fichiers appropriés.

Spécification des informations de sécurité et de configuration dans le répertoire /etc/netboot

Vous spécifiez les informations de sécurité et de configuration en créant les fichiers indiqués ci-dessous et en les stockant dans le répertoire /etc/netboot.

• wanboot.conf : ce fichier spécifie les données de configuration du client dans le cadre d'une installation et d'une initialisation via une connexion WAN.

• Fichier de configuration du système ( system.conf) : ce fichier de configuration du système spécifie l'emplacement du fichier sysidcfg du client et des fichiers JumpStart personnalisée.

• keystore : ce fichier contient une clé de hachage HMAC SHA1, une clé de chiffrement 3DES ou AES et une clé privée SSL.

• truststore : ce fichier contient les certificats numériques délivrés par les autorités de certificat du client. Ces certificats de confiance donnent des instructions au client pour qu'il se fie au serveur au cours de l'installation.

• certstore : ce fichier contient le certificat numérique du client.

  ---

  Remarque –

  Le fichier certstore doit être placé dans le répertoire de l'ID client. Reportez-vous à la section Personnalisation de l'installation et initialisation via une connexion WAN pour obtenir des informations sur les sous-répertoires du répertoire /etc/netboot.

  ---

Pour des directives plus précises relatives à la création et au stockage de ces fichiers, reportez-vous aux procédures indiquées ci-dessous.

• Création du fichier de configuration système

• Création du fichier wanboot.conf

• (Facultatif) Création d'une clé de hachage et de chiffrement

• (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client

Partage des informations de sécurité et de configuration dans le répertoire/etc/netboot

Lors de l'installation de clients sur votre réseau, vous pouvez choisir de partager les fichiers de configuration entre différents clients ou à travers des sous-réseaux complets. Vous pouvez partager ces fichiers en répartissant les informations de configuration dans les répertoires /etc/netboot/ip_réseau/ID_client, /etc/netboot/ip_réseau et /etc/netboot. Le programme wanboot-cgi recherche dans ces répertoires les informations de configuration convenant le mieux au client et les utilise au moment de l'installation.

Le programme wanboot-cgi recherche les informations client dans l'ordre indiqué ci-dessous.

1. /etc/netboot/ip_réseau/ID_client : le programme wanboot-cgi vérifie d'abord les informations de configuration spécifiques de la machine du client. Si le répertoire /etc/netboot/ip_réseau/ID_client contient toutes les informations de configuration du client, le programme wanboot-cgi ne vérifie pas les informations de configuration ailleurs.

2. /etc/netboot/ip_réseau : si toutes les informations requises ne figurent pas dans le répertoire /etc/netboot/ip_réseau/ID_client, le programme wanboot-cgi vérifie les informations de configuration du sous-réseau dans le répertoire /etc/netboot/ip_réseau.

3. /etc/netboot : si les informations restantes ne figurent pas dans le répertoire /etc/netboot/ip_réseau, le programme wanboot-cgi vérifie ensuite les informations de configuration globales dans le répertoire /etc/netboot.

La Figure 11–2 explique la procédure de définition du répertoire /etc/netboot afin de personnaliser les installations et initialisations via une connexion WAN.

Figure 11–2 Exemple de répertoire /etc/netboot

La configuration du répertoire /etc/netboot de la Figure 11–2 permet de réaliser les installations et initialisations via les connexions WAN suivantes.

• Lorsque vous installez le client 010003BA152A42, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot/192.168.255.0/010003BA152A42 :

  • system.conf ;

  • keystore ;

  • truststore ;

  • certstore.

  Le programme wanboot-cgi utilise ensuite le fichier wanboot.conf du répertoire /etc/netboot/192.168.255.0.

• Lorsque vous installez un client situé sur le sous-réseau 192.168.255.0 subnet, le programme wanboot-cgi utilise les fichiers wanboot.conf , keystore et truststore du répertoire /etc/netboot/192.168.255.0. Le programme wanboot-cgi utilise ensuite le fichier system.conf du répertoire /etc/netboot.

• Lorsque vous installez la machine d'un client ne figurant pas sur le sous-réseau 92.168.255.0, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot :

  • wanboot.conf ;

  • system.conf ;

  • keystore ;

  • truststore ;

Stockage du programme wanboot-cgi

Le programme wanboot-cgi transmet les données et les fichiers du serveur d'initialisation via une connexion WAN au client. Vous devez vous assurer que ce programme se trouve dans un répertoire du serveur d'initialisation via connexion WAN accessible au client. Pour le rendre accessible, vous pouvez le stocker dans le répertoire cgi-bin de ce serveur. Vous pouvez avoir à configurer le logiciel du serveur Web pour qu'il utilise le programme wanboot-cgi comme un programme CGI. Reportez-vous à la documentation du serveur Web pour de plus amples informations sur les caractéristiques du programme CGI.

Exigences des certificats numériques

Si vous souhaitez sécuriser vos installations et initialisations via connexion WAN, vous pouvez utiliser des certificats numériques permettant d'authentifier le serveur et le client. L'initialisation via une connexion WAN peut utiliser un certificat numérique pour établir l'identité du serveur ou du client au cours d'une transaction en ligne. Les certificats numériques sont délivrés par une autorité de certification (CA). Ces certificats contiennent un numéro de série, des dates d'expiration, une copie de la clé publique du détenteur du certificat et la signature numérique de l'autorité de certification.

Si vous souhaitez demander l'authentification du serveur ou du client et du serveur au cours de l'installation, vous devez installer un certificat numérique sur le serveur. Si vous utilisez des certificats numériques, conformez-vous aux directives suivantes :

• Un certificat numérique doit être au format de fichier PKCS#12 (Public-Key Cryptography Standards #12).

• Si vous créez vos propres certificats, créez-les au format PKCS#12.

• Si vous recevez vos certificats d'autorités de certification tierces, demandez à ce qu'ils soient au format PKCS#12.

Pour plus d'informations sur l'utilisation des certificats PKCS#12 pendant l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

Limitations de sécurité de l'Initialisation via connexion WAN

L'initialisation via une connexion WAN offre différentes fonctions de sécurité, mais ne gère pas les problèmes potentiels d'insécurité indiqués ci-dessous.

• Attaques par déni de service (DoS) : une attaque par déni de service peut revêtir des formes diverses ; son but est d'empêcher les utilisateurs d'accéder à un service spécifique. Elle peut saturer un réseau avec une grande quantité de données ou consommer des ressources de manière excessive. D'autres attaques par déni de service manipulent les données transmises entre les systèmes en transit. La méthode d'installation et initialisation via connexion WAN ne protège pas les serveurs ou les clients contre ces attaques.

• Binaires altérés sur les serveurs : la méthode d'installation et initialisation via une connexion WAN ne vérifie pas l'intégrité de sa miniracine d'initialisation ni de l'archive Solaris Flash avant d'effectuer l'installation. Avant d'effectuer votre installation, vérifiez l'intégrité des binaires Solaris auprès de la base de données Solaris Fingerprint à l'adresse http://sunsolve.sun.com.

• Confidentialité de la clé de hachage et de la clé de chiffrement : si vous utilisez des clés de chiffrement ou une clé de hachage avec l'installation et initialisation via une connexion WAN, vous devez entrer la valeur de la clé sur la ligne de commande au cours de l'installation. Prenez toutes les précautions nécessaires pour que les valeurs de ces clés demeurent confidentielles.

• Choix d'un service d'attribution de noms sur le réseau : si vous utilisez un service d'attribution de noms sur votre réseau, vérifiez l'intégrité de vos serveurs de noms avant de procéder à l'installation et Initialisation via connexion WAN.

Collecte d'informations pour les installations et initialisations via une connexion WAN

Avant de configurer votre réseau en vue d'une installation et initialisation via connexion WAN, vous devez rassembler une série d'informations. Vous pouvez noter ces informations au moment de la préparation de l'installation via connexion WAN.

Utilisez les fiches de travail suivantes pour enregistrer les informations d'installation pour votre réseau :

• Tableau 11–2

• Tableau 11–3

Chapitre 12 Installation à l'aide de l'Initialisation via connexion WAN - Tâches

Ce chapitre décrit les tâches permettant de préparer votre réseau à une installation et initialisation via connexion WAN.

• Installation sur un réseau étendu - Liste des tâches

• Configuration du serveur d'initialisation via connexion WAN

• Création des fichiers d'installation JumpStart personnalisés

• Création des fichiers de configuration

• (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP

• (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN

Installation sur un réseau étendu - Liste des tâches

Les tableaux présentés ci-après dressent la liste des tâches à effectuer pour la préparation à une installation et initialisation via connexion WAN.

• Pour obtenir la liste des tâches à effectuer pour la préparation d'une installation et initialisation via une connexion WAN sécurisée, reportez-vous au Tableau 12–1.

  Pour obtenir la description d'une installation et initialisation via une connexion WAN sécurisée à l'aide du protocole HTTPS, reportez-vous à la section Configuration d'une installation et Initialisation via connexion WAN sécurisée.

• Pour obtenir la liste des tâches à effectuer pour la préparation d'une installation et initialisation via une connexion WAN non sécurisée, reportez-vous au Tableau 12–2.

  Pour obtenir la description d'une installation et initialisation via une connexion WAN non sécurisée, reportez-vous à la rubriqueConfiguration d'une installation et Initialisation via connexion WAN non sécurisée.

Pour utiliser un serveur DHCP ou de journalisation, vous devez effectuer les tâches facultatives indiquées au bas de chaque tableau.

Configuration du serveur d'initialisation via connexion WAN

Le serveur d'initialisation via une connexion WAN est un serveur Web fournissant les données d'initialisation et de configuration lors d'une installation et initialisation via une connexion WAN. Pour connaître la configuration système requise du serveur d'initialisation via une connexion WAN, reportez-vous au Tableau 11–1.

Cette section décrit les tâches nécessaires à la configuration du serveur d'initialisation via connexion WAN en vue d'une installation et initialisation via connexion WAN.

• Création du répertoire document racine

• Création de la miniracine de l'initialisation via connexion WAN

• Installation du programme wanboot sur le serveur d'initialisation via connexion WAN

• Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN

• Copie du programme CGI WAN Boot sur le serveur d'initialisation via une connexion WAN

• (Facultatif) Protection de données à l'aide d'HTTPS

Création du répertoire document racine

Le logiciel du serveur Web doit pouvoir accéder aux fichiers de configuration et d'installation sur le serveur d'initialisation via une connexion WAN. Pour ce faire, vous pouvez par exemple stocker les fichiers de configuration et d'installation dans le répertoire document racine du serveur d'initialisation via une connexion WAN.

Si vous souhaitez utiliser un répertoire document racine pour servir les fichiers de configuration et d'installation, il est nécessaire d'en créer un. Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour obtenir des informations détaillées sur la conception de votre répertoire racine de document, reportez-vous à la section Stockage des fichiers d'installation et de configuration dans le répertoire document racine.

Pour lire un exemple de définition de ce répertoire, reportez-vous à la section Procédure de création du répertoire racine du document.

Une fois le répertoire document racine défini, vous devez créer la miniracine de l'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous à la section Création de la miniracine de l'initialisation via connexion WAN.

Création de la miniracine de l'initialisation via connexion WAN

L'initialisation via connexion WAN utilise une miniracine de Solaris spéciale modifiée pour l'installation et initialisation via connexion WAN. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris. Pour réaliser une installation et initialisation via une connexion WAN, vous devez copier la miniracine à partir du DVD Solaris ou du 1 du logiciel Solaris sur le serveur d'initialisation via une connexion WAN. Utilisez l'option -w de la commande setup_install_server pour copier cette miniracine depuis le média logiciel Solaris sur le disque dur de votre système.

SPARC : procédure de création d'une miniracine de l'initialisation via connexion WAN

Cette procédure crée une miniracine SPARC de l'initialisation via connexion WAN avec un support SPARC. Si vous souhaitez servir cette miniracine à partir d'un serveur basé sur x86, vous devez créer la miniracine sur une machine SPARC. Après l'avoir créée, copiez-la dans le répertoire document racine du serveur basé sur x86.

Avant de commencer

Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas Volume Manager, reportez-vous au manuel System Administration Guide: Devices and File Systems.

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

   Le système doit satisfaire aux exigences suivantes :

   • comporter une unité de CD-ROM ou de DVD-ROM ;

   • faire partie du réseau et du service d'attribution de noms du site.

     Si vous utilisez un service d'attribution de noms, le système doit déjà figurer dans l'un de ces services : NIS, NIS+, DNS ou LDAP. Si vous n'en utilisez pas, vous devez identifier ce système conformément aux principes en vigueur au sein de votre entreprise.

2. Insérez le 1 du logiciel Solaris ou le DVD Solaris dans le lecteur du serveur d'installation.

3. Créez un répertoire pour la miniracine de l'initialisation via une connexion WAN et l'image de l'installation Solaris.

   # mkdir -p wan-dir-path install-dir-path

   -p

   Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.

   chemin_rép_wan

   Spécifie le répertoire où la miniracine de l'initialisation via connexion WAN doit être créée sur le serveur d'installation. Ce répertoire doit être adapté à des miniracines dont la taille est généralement de 250 Mo.

   chemin_rép_install

   Spécifie le répertoire du serveur d'installation où l'image du logiciel Solaris doit être copiée. Ce répertoire peut ensuite être supprimé au cours de cette procédure.

4. Placez-vous dans le répertoire Tools du disque monté.

   # cd /cdrom/cdrom0/Solaris_10/Tools

   Dans l'exemple ci-dessus, cdrom0 correspond au chemin d'accès au lecteur contenant le média du système d'exploitation Solaris.

5. Copiez la miniracine de l'initialisation via connexion WAN et l'image du logiciel Solaris vers le disque dur du serveur d'initialisation via connexion WAN.

   # ./setup_install_server -w wan-dir-path install-dir-path

   chemin_rép_wan

   Indique le répertoire de copie de la miniracine de l'initialisation via connexion WAN.

   chemin_rép_install

   Indique le répertoire dans lequel sera copiée l'image du logiciel Solaris.

   ---

   Remarque –

   La commande setup_install_server indique si l'espace disque disponible est suffisant pour les images disque de Logiciel Solaris. Utilisez la commande df -kl pour déterminer l'espace disque disponible.

   ---

   La commande setup_install_server -w crée la miniracine de l'initialisation via connexion WAN et une image d'installation réseau du logiciel Solaris.

6. (Facultatif) Supprimez l'image d'installation réseau.

   L'image du logiciel Solaris n'est pas nécessaire à l'installation via connexion WAN au moyen de l'archive Solaris Flash. Vous pouvez libérer de l'espace disque, si vous ne comptez pas utiliser l'image d'installation réseau pour d'autres installations. Entrez la commande suivante pour supprimer l'image d'installation réseau :

   # rm -rf install-dir-path

7. Pour que le serveur d'initialisation via une connexion WAN puisse accéder à la miniracine de l'initialisation via une connexion WAN, procédez de l'une des manières suivantes :

   • Créez un lien symbolique vers la miniracine de l'initialisation via une connexion WAN dans le répertoire document racine du serveur d'initialisation via une connexion WAN.

     # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .

     rép_doc_racine/miniroot

     Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier la miniracine de l'initialisation via connexion WAN.

     /chemin_rép_wan/miniroot

     Spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN.

   • Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.

     # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name

     chemin_rép_wan/miniroot

     Spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN.

     /rép_doc_racine/miniroot/

     Spécifie le chemin d'accès au répertoire de la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.

     nom_miniracine

     Spécifie le nom de la miniracine de l'initialisation via connexion WAN. Fournissez un nom de fichier descriptif, par exemple miniroot.s10_sparc.

Exemple 12–1 Création de la miniracine de l'initialisation via connexion WAN

Utilisez la commande setup_install_server(1M) avec l'option -w pour copier la miniracine de l'initialisation via une connexion WAN et l'image du logiciel Solaris dans le répertoire /export/install/Solaris_10 de wanserver-1.

Insérez le support Logiciel Solaris dans le lecteur relié à wanserver-1. Entrez les commandes suivantes :

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Déplacez la miniracine de l'initialisation via une connexion WAN vers le répertoire document racine (/opt/apache/htdocs/) du serveur d'initialisation via une connexion WAN. Dans cet exemple, le nom de la miniracine de l'initialisation via une connexion WAN est miniroot.s10_sparc.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Poursuite de l'installation et initialisation via une connexion WAN

Après avoir créé la miniracine de l'initialisation via une connexion WAN, assurez-vous que l'OBP client prend en charge l'initialisation via une connexion WAN. Pour plus d'instructions, reportez-vous à la section Vérification de la prise en charge de l'initialisation via une connexion WAN sur le client.

Voir aussi

Pour plus d'informations sur la commande setup_install_server, reportez-vous à la page de manuel install_scripts(1M).

Vérification de la prise en charge de l'initialisation via une connexion WAN sur le client

Pour effectuer une installation et initialisation via une connexion WAN sans surveillance, l'OBP client doit prendre en charge l'initialisation via une connexion WAN. Si tel n'est pas le cas, vous pouvez tout de même effectuer cette installation en fournissant les programmes requis sur un CD local.

Pour définir si le client prend en charge l'initialisation via une connexion WAN, vérifiez les variables de configuration de l'OBP client. Effectuez la procédure ci-dessous pour vérifier que le client prend en charge l'initialisation via une connexion WAN.

Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client

La procédure décrite ci-après indique comment déterminer si cela est le cas.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle équivalent.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Vérifiez que les variables de configuration de l'OBP prennent en charge l'initialisation via connexion WAN.

   # eeprom | grep network-boot-arguments

   • Si la variable network-boot-arguments s'affiche ou si la commande précédente renvoie le résultat network-boot-arguments: data not available, l'OBP prend en charge les installations et initialisations via connexion WAN. Il n'est pas nécessaire de mettre à jour l'OBP avant de procéder à l'installation et initialisation via connexion WAN.

   • Si la commande précédente ne renvoie aucun résultat, l'OBP ne prend pas en charge les installations et initialisations via une connexion WAN. Vous devez effectuer une des tâches indiquées ci-dessous.

     • Mettez à jour l'OBP client. Pour les clients OBP capables de prendre en charge les installations avec initialisation WAN, consultez la documentation du système pour connaître la procédure de mise à jour de l'OBP.

       ---

       Remarque –

       Certains clients OBP ne prennent pas en charge l'initialisation via la connexion WAN. Si c'est le cas de votre client, utilisez l'option suivante.

       ---

     • Une fois les préparatifs terminés, effectuez l'installation et initialisation via une connexion WAN à partir du Logiciel Solaris CD1 ou du DVD. Cette option fonctionne pour tout client OBP ne prenant pas en charge l'initialisation WAN.

       Pour obtenir des instructions sur l'initialisation du client à partir de CD1, reportez-vous à la section Installation et initialisation via une connexion WAN avec un CD local. Pour poursuivre les préparatifs de l'installation et de l'initialisation via une connexion WAN, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Exemple 12–2 Vérification de la prise en charge de l'initialisation via connexion WAN par l'OBP client

La commande suivante indique comment vérifier la prise en charge de l'initialisation via connexion WAN par l'OBP client.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Dans cet exemple, le résultat network-boot-arguments: data not available indique que l'OBP du client prend en charge l'initialisation via connexion WAN.

Poursuite de l'installation et initialisation via une connexion WAN

Après avoir vérifié que l'OBP client prend en charge l'initialisation via une connexion WAN, copiez le programme wanboot sur le serveur d'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous à la section Installation du programme wanboot sur le serveur d'initialisation via connexion WAN.

Si l'OBP client ne prend pas en charge l'initialisation via une connexion WAN, il n'est pas nécessaire de copier le programme wanboot sur le serveur correspondant. Vous devez fournir le programme wanboot au client sur un CD local. Pour continuer l'installation, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Voir aussi

Pour de plus amples informations sur la commande setup_install_server, reportez-vous au Chapitre 4Installation réseau - Présentation.

Installation du programme wanboot sur le serveur d'initialisation via connexion WAN

L'initialisation via connexion WAN utilise un programme d'initialisation de second niveau spécial (wanboot) pour installer le client. Le programme wanboot charge la miniracine de l'initialisation via connexion WAN, les fichiers de configuration client et les fichiers d'installation nécessaires à l'installation et initialisation via connexion WAN.

Pour réaliser une installation et initialisation via connexion WAN, il est nécessaire de fournir le programme wanboot au client durant l'installation. Vous pouvez fournir ce programme au client en procédant comme indiqué ci-dessous.

• Si la PROM de votre client prend en charge l'initialisation via connexion WAN, vous pouvez transmettre au client le programme depuis le serveur d'initialisation via connexion WAN . Installez le programme wanboot sur le serveur d'initialisation via une connexion WAN.

  Pour savoir si la PROM du client prend en charge l'initialisation via connexion WAN, reportez-vous à la section Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client.

• Si la PROM du client ne prend pas en charge l'initialisation via connexion WAN, vous devez transmettre le programme au client via un CD local. Si tel est le cas, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN pour poursuivre les préparatifs de l'installation.

SPARC : procédure d'installation du programme wanboot sur le serveur d'initialisation via une connexion WAN

Cette procédure permet de copier le programme wanboot à partir du média Solaris sur le serveur d'initialisation via une connexion WAN.

Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas Volume Manager, reportez-vous au manuel System Administration Guide: Devices and File Systems.

Avant de commencer

Vérifiez la prise en charge de l'initialisation via une connexion par le système client. Reportez-vous à la section Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client pour plus d'informations.

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'installation.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

2. Insérez le 1 du logiciel Solaris ou le DVD Solaris dans le lecteur du serveur d'installation.

3. Passez au répertoire de la plate-forme sun4u du 1 du logiciel Solaris CD ou du DVD Solaris.

   # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/

4. Copiez le programme wanboot sur le serveur d'installation.

   # cp wanboot /document-root-directory/wanboot/wanboot-name

   rép_doc_racine

   Spécifie le répertoire document racine du serveur d'initialisation via une connexion WAN.

   nom_wanboot

   Spécifie le nom du programme wanboot. Fournissez ce nom de fichier descriptif, par exemple wanboot.s10_sparc.

5. Assurez-vous que le programme wanboot est accessible au serveur d'initialisation via connexion WAN de l'une des façons indiquées ci-dessous.

   • Créez un lien symbolique vers le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN.

     # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .

     rép_doc_racine/wanboot

     Indique le répertoire document racine du serveur d'initialisation via une connexion WAN auquel vous souhaitez relier le programme wanboot.

     /chemin_rép_wan/wanboot

     Spécifie le chemin d'accès au programme wanboot.

   • Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.

     # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name

     chemin_rép_wan/wanboot

     Spécifie le chemin d'accès au programme wanboot.

     /rép_doc_racine/wanboot/

     Spécifie le chemin d'accès au répertoire du programme wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.

     nom_wanboot

     Spécifie le nom du programme wanboot. Fournissez un nom de fichier descriptif, par exemple wanboot.s10_sparc.

Exemple 12–3 Installation du programme wanboot sur le serveur d'initialisation via connexion WAN

Pour installer le programme wanboot sur le serveur d'initialisation via une connexion WAN, copiez le programme à partir du média logiciel Logiciel Solaris vers le répertoire document racine du serveur d'initialisation via une connexion WAN.

Insérez le DVD Solaris ou le 1 du logiciel Solaris dans le lecteur de support relié à wanserver-1 et entrez les commandes suivantes :

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Dans cet exemple, le nom du programme wanboot est wanboot.s10_sparc.

Poursuite de l'installation et initialisation via une connexion WAN

Après avoir installé le programme wanboot sur le serveur d'initialisation via une connexion WAN, créez la hiérarchie /etc/netboot sur ce même serveur. Pour plus d'informations, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Voir aussi

Pour obtenir des informations générales sur le programme wanboot, consultez la section Qu'est-ce que l'Initialisation via connexion WAN ?.

Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN

Au cours de l'installation, l'initialisation via une connexion WAN se réfère au contenu de la hiérarchie /etc/netboot sur le serveur Web pour obtenir des instructions sur la procédure d'installation. Ce répertoire contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification nécessaire à une installation et initialisation via connexion WAN. Au cours de l'installation, le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN. Le programme wanboot-cgi transmet ensuite le système de fichiers d'initialisation via une connexion WAN au client.

Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via une connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.

• Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients de votre réseau, stockez les fichiers de configuration à partager dans le répertoire /etc/netboot.

• Configuration réseau : si vous souhaitez que les informations de configuration ne soient partagées que par les ordinateurs d'un sous-réseau donné, stockez les fichiers de configuration à partager dans un sous-réperoire du répertoire /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client.

• Configuration client spécifique : si vous souhaitez qu'un client spécifique utilise le système de fichiers d'initialisation, stockez les fichiers du système d'initialisation dans un sous-répertoire du répertoire /etc/netboot . Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip/client-ID

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur.

Pour obtenir des informations de planification détaillées sur ces configurations, reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

La procédure décrite ci-après indique comment créer la hiérarchie /etc/netboot.

Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN

Suivez les étapes ci-dessous pour créer la hiérarchie /etc/netboot.

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

2. Créez le répertoire /etc/netboot.

   # mkdir /etc/netboot

3. Modifiez les permissions du répertoire /etc/netboot à 700.

   # chmod 700 /etc/netboot

4. Modifiez le propriétaire du répertoire /etc/netboot en propriétaire du serveur Web.

   # chown web-server-user:web-server-group /etc/netboot/

   utilisateur_serveur_web

   Spécifie l'utilisateur propriétaire du processus du serveur Web.

   groupe_serveur_web

   Spécifie le groupe propriétaire du processus du serveur Web.

5. Quittez le rôle de superutilisateur.

   # exit

6. Endossez le rôle d'utilisateur propriétaire du serveur Web.

7. Créez le sous-répertoire client du répertoire /etc/netboot.

   # mkdir -p /etc/netboot/net-ip/client-ID

   -p

   Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.

   (Facultatif) ip_réseau

   Spécifie l'adresse réseau IP du sous-réseau du client.

   (Facultatif) ID_client

   Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. Le répertoire ID_client doit être un sous-répertoire du répertoire ip_réseau.

8. Pour chaque répertoire de la hiérarchie /etc/netboot, modifiez les permissions à 700.

   # chmod 700 /etc/netboot/dir-name

   nom_rép

   Spécifie le nom d'un répertoire dans la hiérarchie /etc/netboot

Exemple 12–4 Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN

L'exemple ci-après indique la procédure de création de la hiérarchie /etc/netboot pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0. Dans cet exemple, l'utilisateur nobody et le groupe admin sont propriétaires du processus serveur Web.

Les commandes décrites dans cet exemple exécutent les tâches ci-dessous.

• Créez le répertoire /etc/netboot.

• Modifiez les autorisations du répertoire /etc/netboot sur 700.

• Modifiez la propriété du répertoire /etc/netboot en l'attribuant au propriétaire du processus du serveur Web.

• Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.

• Créez un sous-répertoire de /etc/netboot nommé comme le sous-réseau (192.168.198.0).

• Créez un sous-répertoire du répertoire du sous-réseau nommé comme l'ID client.

• Modifiez les autorisations du sous-répertoire /etc/netboot sur 700.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Poursuite de l'installation et initialisation via une connexion WAN

Après avoir créé la hiérarchie /etc/netboot, copiez le programme CGI de l'initialisation via une connexion WAN sur le serveur correspondant. Pour plus d'informations, reportez-vous à la section Copie du programme CGI WAN Boot sur le serveur d'initialisation via une connexion WAN.

Voir aussi

Pour obtenir des informations de planification détaillées sur la conception de la hiérarchie /etc/netboot, reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

Copie du programme CGI WAN Boot sur le serveur d'initialisation via une connexion WAN

Le programme wanboot-cgi crée les flux de données transmettant les fichiers suivants depuis le serveur d'initialisation via une connexion WAN au client :

• programme wanboot ;

• système de fichiers d'initialisation via connexion WAN ;

• miniracine de l'initialisation via connexion WAN ;

Le programme wanboot-cgi est installé sur le système lorsque vous installez le logiciel version Solaris actuelle. Pour activer le serveur d'initialisation via connexion WAN afin d'utiliser ce programme, copiez celui-ci dans le répertoire cgi-bin du serveur d'initialisation via connexion WAN.

procédure de copie du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le serveur d'initialisation WAN.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

2. Copiez le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi

   /racine_serveur_WAN

   Spécifie le répertoire racine du serveur Web sur le serveur d'initialisation via connexion WAN.

3. Sur le serveur d'initialisation via connexion WAN, réglez les autorisations du programme CGI sur 755.

   # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

Poursuite de l'installation et initialisation via une connexion WAN

Une fois que vous avez copié le programme CGI de l'initialisation via une connexion WAN sur le serveur correspondant, vous avez la possibilité de définir un serveur de journalisation, le cas échéant. Pour plus d'informations, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.

Si vous ne souhaitez pas définir de serveur de journalisation distinct, reportez-vous à la section (Facultatif) Protection de données à l'aide d'HTTPS pour savoir comment définir les fonctions de sécurité d'une installation et initialisation via une connexion WAN.

Voir aussi

Pour obtenir des informations générales sur le programme wanboot-cgi, consultez la section Qu'est-ce que l'Initialisation via connexion WAN ?.

(Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN

Par défaut, tous les messages de journalisation via une connexion WAN sont affichés sur le système client. Ce paramètre par défaut vous permet de déboguer rapidement les problèmes d'installation.

Si vous souhaitez enregistrer les messages d'initialisation et d'installation sur un système autre que le client, vous devez définir un serveur de journalisation. Si vous souhaitez utiliser un serveur de journalisation via HTTPS au cours de l'installation, vous devez configurer le serveur d'initialisation via connexion WAN comme serveur de journalisation.

Pour configurer le serveur de journalisation, procédez comme indiqué ci-dessous.

1. Copiez le script bootlog-cgi dans le répertoire du script CGI du serveur de journalisation.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin

   racine_serveur_journal/cgi-bin

   Spécifie le répertoire cgi-bin du répertoire du serveur Web du serveur de journalisation.

2. Modifiez les autorisations du script bootlog-cgi sur 755.

   # chmod 755 log-server-root/cgi-bin/bootlog-cgi

3. Définissez la valeur du paramètre boot_logger dans le fichier wanboot.conf.

   Dans le fichier wanboot.conf, spécifiez l'URL du script bootlog-cgi sur le serveur de journalisation.

   Pour de plus amples informations sur la définition des paramètres dans le fichier wanboot.conf, consultez la section Création du fichier wanboot.conf.

   Lors de l'installation, les messages de journalisation de l'initialisation et de l'installation sont enregistrés dans le répertoire /tmp du serveur de journalisation. Le fichier se nomme bootlog.nomhôte, où nomhôte correspond au nom d'hôte du client.

Exemple 12–5 Configuration d'un serveur de journalisation pour une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant configure le serveur d'initialisation via une connexion WAN comme serveur de journalisation :

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le serveur de journalisation défini, il vous est possible de définir l'installation et initialisation via une connexion WAN pour utiliser des certificats numériques et des clés de sécurité. Reportez-vous à la section (Facultatif) Protection de données à l'aide d'HTTPS pour savoir comment définir les fonctions de sécurité d'une installation et initialisation via une connexion WAN.

(Facultatif) Protection de données à l'aide d'HTTPS

Pour protéger vos données durant le transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec Secure Sockets Layer (HTTPS). Si vous souhaitez utiliser une configuration d'installation plus sécurisée (reportez-vous à la section Configuration d'une installation et Initialisation via connexion WAN sécurisée), vous devez activer votre serveur Web pour pouvoir utiliser le protocole HTTPS.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez les procédures de cette section. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Pour ce faire, procédez comme indiqué ci-dessous.

• Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.

  Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour obtenir des informations sur ces fonctions, reportez-vous à la documentation indiquée ci-dessous.

  • Pour des informations sur l'activation du protocole SSL sur les serveurs Web SunONE et iPlanet, reportez-vous à la documentation SunONE et iPlanet à l'adresse suivante : http://docs.sun.com/.

  • Pour plus d'informations sur l'activation du protocole SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante : http://httpd.apache.org/docs-project/.

  • Si le serveur Web que vous utilisez n'est pas mentionné ci-dessus, reportez-vous à la documentation relative à ce dernier.

• Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.

  Pour plus d'informations sur l'utilisation des certificats numériques avec l'initialisation via connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

• Fournissez un certificat de confiance au client.

  Pour plus d'informations sur la création d'un certificat de confiance, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

• Créez une clé de hachage et une clé de chiffrement.

  Pour obtenir des instructions sur la création de clés, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

• (Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.

  Pour de plus amples informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.

Cette section décrit les modalités d'utilisation des clés et des certificats numériques dans votre installation et initialisation via une connexion WAN.

(Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et d'initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation sur HTTPS avec authentification serveur ou authentification serveur et client. Pour connaître les conditions requises et les instructions relatives à l'utilisation des fichiers PKCS#12, reportez-vous à la section Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

• Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.

• Insérez le certificat de confiance dans le fichier truststore du client dans la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.

• (Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.

La commande wanbootutil fournit des options pour exécuter ces tâches.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Effectuez les étapes décrites ci-après pour créer un certificat de confiance et une clé privée client.

Avant de commencer

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

• Pour obtenir des informations générales sur la hiérarchie /etc/netboot , reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

• Pour obtenir des instructions à propos de la création de hiérarchie /etc/netboot , reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

   -i p12cert

   Spécifie le nom du fichier PKCS#12 à diviser.

   -t /etc/netboot/ip_réseau /ID_client/truststore

   Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

3. (Facultatif) Voulez-vous utiliser l'authentification client ?

   • Si vous ne souhaitez pas l'utiliser, consultez la section (Facultatif) Création d'une clé de hachage et de chiffrement.

   • Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-dessous.

     1. Insérez le certificat client dans le fichier certstore du client.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

        -i p12cert

        Spécifie le nom du fichier PKCS#12 à diviser.

        -c /etc/netboot/ip_réseau/ ID_client/certstore

        Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée SSL du client à créer à partir du fichier PKCS#12 divisé.

     2. Insérez la clé privée dans le fichier keystore du client.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        Insère une clé privée SSL dans le fichier keystore du client.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée du client créé à l'étape précédente.

        -s /etc/netboot/ip_réseau/ ID_client/keystore

        Spécifie le chemin d'accès au fichier keystore du client.

        -o type=rsa

        Spécifie le type de clé comme étant RSA

Exemple 12–6 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple indiqué ci-après, vous utilisez un fichier PKCS#12 afin d'installer le client 010003BA152A42 sur le sous-réseau 192.168.198.0. La commande extrait un certificat à partir d'un fichier PKCS#12 appelé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.

Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le certificat numérique créé, vous devez créer une clé de hachage et de chiffrement. Pour plus d'informations, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Voir aussi

Pour plus d'informations sur la procédure de création des certificats de confiance, reportez-vous à la page de manuel wanbootutil(1M).

(Facultatif) Création d'une clé de hachage et de chiffrement

Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot.

À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Pour créer une clé de hachage et une clé de chiffrement, effectuez les opérations suivantes :

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Créez la clé HMAC SHA1 maîtresse.

   # wanbootutil keygen -m

   keygen -m

   Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via une connexion WAN.

3. Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   Crée la clé de hachage du client à partir de la clé maîtresse.

   -o

   Indique que la commande wanbootutil keygen fournit des options supplémentaires.

   (Facultatif) net=ip_réseau

   Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.

   (Facultatif) cid=ID_client

   Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

   type=sha1

   Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.

4. Choisissez de créer ou non une clé de chiffrement pour le client.

   La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.

   • Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.

   • Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Passez à l'Étape 6.

5. Créer une clé de chiffrement pour le client.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   Crée la clé de chiffrement du client.

   -o

   Indique que la commande wanbootutil keygen fournit des options supplémentaires.

   (Facultatif) net=ip_réseau

   Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.

   (Facultatif) cid=ID_client

   Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

   type=type_clé

   Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.

6. Installez les clés sur le système client.

   Pour obtenir des instructions sur l'installation de clés sur le client, consultez Installation de clés sur le client.

Exemple 12–7 Création des clés nécessaire à une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée également une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0.

Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Poursuite de l'installation et initialisation via une connexion WAN

Une fois les clés de hachage et de chiffrement créées, vous devez créer les fichiers d'installation. Pour plus d'instructions, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Voir aussi

Pour obtenir des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la section Protection des données lors d'une installation et Initialisation via connexion WAN .

Pour plus d'informations sur la création des clés de hachage et de chiffrement, reportez-vous à la page de manuel wanbootutil(1M).

Création des fichiers d'installation JumpStart personnalisés

L'installation et initialisation via connexion WAN effectue une installation JumpStart personnalisée pour installer une archive Solaris Flash sur le client. La méthode d'installation JumpStart personnalisée est une interface de ligne de commande vous permettant d'installer automatiquement plusieurs systèmes, en fonction des profils que vous créez. Ces profils définissent la configuration minimale requise par l'installation des logiciels. Vous pouvez également y inclure des scripts de shell correspondant à des tâches exécutables avant et après l'installation. Choisissez le profil et les scripts que vous souhaitez utiliser pour l'installation ou la mise à niveau. La méthode d'installation JumpStart personnalisée procède à l'installation de votre système ou à sa mise à niveau d'après le profil et les scripts que vous aurez sélectionnés. Vous pouvez aussi utiliser un fichier sysidcfg pour spécifier des informations de configuration de sorte que l'installation JumpStart personnalisée ne requière aucune intervention manuelle.

Pour préparer les fichiers JumpStart personnalisés en vue d'une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

• Création de l'archive Solaris Flash

• Création du fichier sysidcfg

• Création d'un fichier rules

• Création d'un profil

• (Facultatif) Création de scripts de début et de fin

Pour plus d'informations sur l'installation JumpStart personnalisée, reportez-vous au Chapitre 2, Méthode d’installation JumpStart personnalisée – Présentation du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Création de l'archive Solaris Flash

La fonction d'installation Solaris Flash permet d'utiliser une seule installation de référence du système d'exploitation Solaris, sur un système appelé « système maître ». Vous pouvez ensuite créer l'archive Solaris Flash, réplique de l'image du système maître. Vous pouvez installer l'archive Solaris Flash sur d'autres systèmes du réseau en créant des systèmes clones.

Cette section explique comment créer une archive Solaris Flash.

Avant de commencer

• Avant de créer une archive Solaris Flash, installez le système maître.

  • Pour plus d'informations sur l'installation d'un système maître, reportez-vous à la section Installation du système maître du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

  • Pour plus d'informations concernant les archives Solaris Flash, reportez-vous au Chapitre 1, Solaris Flash - Présentation du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

• Problèmes de taille des fichiers :

  Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.

  • Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.

  • La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.

    Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

1. Initialisez le système maître.

   Faites-le fonctionner à l'état le plus inactif possible. Si possible, exécutez le système en mode monoutilisateur. Si cela s'avère impossible, fermez toutes les applications à archiver et toutes celles qui requièrent d'importantes ressources en terme de système d'exploitation.

2. Pour créer l'archive, exécutez la commande flarcreate.

   # flarcreate -n name [optional-parameters] document-root/flash/filename

   nom

   Nom que vous assignez à l'archive. Le nom spécifié correspond à la valeur du mot-clé content_name.

   paramètres_optionnels

   Vous pouvez utiliser plusieurs options de la commande flarcreate pour personnaliser votre archive Solaris Flash. Ces options sont décrites en détail au Chapitre 6, Solaris Flash – Références du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

   document_racine/flash

   Chemin d'accès au sous-répertoire Solaris Flash du répertoire document racine du serveur d'installation.

   nom_fichier

   Nom du fichier d'archive.

   Pour économiser de l'espace disque, vous pouvez utiliser l'option -c de la commande flarcreate afin de compresser l'archive. Toutefois, une archive compressée peut affecter les performances de votre installation et initialisation via connexion WAN. Pour plus d'informations sur la création d'une archive compressée, reportez-vous à la page de manuel flarcreate(1M).

   • Si la création d'archive s'est déroulée avec succès, la commande flarcreate renvoie un code de sortie de 0.

   • Si la création d'archive a échoué, la commande flarcreate renvoie un code de sortie différent de 0.

Exemple 12–8 Création d'une archive Solaris Flash pour une installation et initialisation via une connexion WAN

Dans cet exemple, vous créez une archive Solaris Flash en clonant le système serveur de l'initialisation via une connexion WAN avec le nom d'hôte wanserver. Le nom de l'archive est sol_10_sparc, et cette archive est copiée à partir du système maître. L'archive est une copie exacte du système maître. L'archive est stockée dans sol_10_sparc.flar. Vous sauvegardez l'archive dans le sous-répertoire flash/archives du répertoire document racine sur le serveur d'initialisation via connexion WAN.

wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Poursuite de l'installation et initialisation via une connexion WAN

Une fois l'archive Solaris Flash créée, préconfigurez les informations client dans le fichier sysidcfg. Pour plus d'instructions, reportez-vous à la section Création du fichier sysidcfg.

Voir aussi

Pour obtenir les instructions détaillées sur la création d'une archive Solaris Flash, reportez-vous au Chapitre 3, Création d’archives Solaris Flash – Tâches du Guide d’installation Oracle Solaris 10 9/10 : archives Solaris Flash (création et installation).

Pour plus d'informations sur la commande flarcreate, reportez-vous à la page de manuel flarcreate(1M).

Création du fichier sysidcfg

Pour préconfigurer un système, vous pouvez spécifier un certain nombre de mots-clés dans le fichier sysidcfg.

Pour créer un fichier sysidcfg, suivez les étapes ci-dessous.

Avant de commencer

Créer l'archive Solaris Flash. Reportez-vous à la section Création de l'archive Solaris Flash pour des instructions détaillées.

1. Créez un fichier sysidcfg dans un éditeur de texte du serveur d'installation.

2. Entrez-y les mots-clés sysidcfg de votre choix.

   Pour de plus amples informations sur les mots-clés sysidcfg, reportez-vous à la section Mots-clés utilisables dans un fichier sysidcfg.

3. Enregistrez le fichier sysidcfg à un emplacement accessible au serveur d'initialisation via connexion WAN.

   Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.

   • Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.

   • Si le serveur d'initialisation WAN et le serveur d'installation ne sont pas hébergés sur le même ordinateur, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

Exemple 12–9 Fichier sysidcfg pour l'installation et initialisation via connexion WAN

Voici un exemple de fichier sysidcfg pour un système basé sur SPARC. Le nom d'hôte, l'adresse IP et le masque de réseau de ce système ont été préconfigurés dans le service d'attribution de noms utilisé.

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le fichier sysidcfg créé, vous devez créer un profil JumpStart personnalisé pour le client. Pour obtenir des instructions, reportez-vous à la section Création d'un profil.

Voir aussi

Pour plus d'informations sur les valeurs et mots-clés sysidcfg, consultez la section Préconfiguration à l'aide du fichier sysidcfg.

Création d'un profil

On appelle profil un fichier texte qui indique au programme JumpStart personnalisé comment installer le logiciel Solaris sur un système. Un profil définit les éléments objets de l'installation ; le groupe de logiciels à installer, par exemple.

Pour plus d'informations sur la création de profils, reportez-vous à la section Création d’un profil du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Pour créer un profil, suivez les étapes ci-dessous.

Avant de commencer

Créez le fichier sysidcfg du client. Reportez-vous à la section Création du fichier sysidcfg pour connaître les instructions détaillées.

1. Créez un fichier texte sur le serveur d'installation. Donnez un nom significatif à votre fichier.

   Assurez-vous que le profil porte un nom assez significatif pour l'installation du logiciel Solaris sur un système. Vous pouvez, par exemple, nommer vos profils basic_install, eng_profile ou user_profile.

2. Ajoutez des mots-clés de profil et leur valeur dans le profil ainsi créé.

   Les mots-clés et leurs valeurs sont répertoriés à la section Mots-clés et valeurs des profils du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

   Les mots-clés de profil et leur valeur tiennent compte des minuscules et des majuscules.

3. Enregistrez le profil à un emplacement accessible au serveur d'initialisation via connexion WAN.

   Enregistrez le profil à l'un des emplacements indiqués ci-dessous.

   • Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.

   • Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

4. Vérifiez que le profil figure dans root et que le degré de permission est réglé sur 644.

5. (Facultatif) Testez le profil.

   La section Test d’un profil du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée contient des informations concernant le test de profils.

Exemple 12–10 Extraction d'une archive Solaris Flash à partir d'un serveur HTTP sécurisé

Dans l'exemple suivant, le profil indique que le programme JumpStart personnalisé extrait les archives Solaris Flash à partir d'un serveur HTTP sécurisé.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

La liste suivante décrit quelques mots-clés et quelques valeurs issus de cet exemple.

install_type

Le profil installe une archive Solaris Flash sur le système clone. Tous les fichiers sont écrasés, comme dans une installation initiale.

archive_location

L'archive compressée Solaris Flash est extraite à partir d'un serveur HTTP sécurisé.

partitioning

Les tranches des systèmes de fichiers sont déterminées par le mot-clé filesys, associé à la valeur explicit. La taille de la racine (/) est basée sur la taille de l'archive Solaris Flash. La taille de swap est réglée en fonction des besoins. Ce système de fichiers est installé sur c0t1d0s1. /export/home est basé sur l'espace de disque restant. /export/home est installé sur c0t1d0s7.

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le profil créé, vous devez créer et valider le fichier rules. Pour plus d'instructions, reportez-vous à la section Création d'un fichier rules.

Voir aussi

Pour plus d'informations sur la création d'un profil, reportez-vous à la section Création d’un profil du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Les mots-clés et les valeurs sont décrits en détails à la section Mots-clés et valeurs des profils du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Création d'un fichier rules

Le fichier rules est un fichier texte qui contient une règle pour chaque groupe de systèmes sur lequel vous voulez installer le système d'exploitation Solaris. Chaque règle désigne un groupe de systèmes ayant un ou plusieurs attributs en commun. Chaque règle lie également chaque groupe à un profil. Un profil est un fichier texte qui définit la procédure d'installation du logiciel Solaris sur chaque système d'un groupe. Par exemple, la règle suivante spécifie que le programme JumpStart utilise les informations dans le profil basic_prof pour installer tout système dans le groupe plate-forme sun4u.

karch sun4u - basic_prof -

Le fichier rules est utilisé pour créer le fichier rules.ok nécessaire aux installations JumpStart personnalisées.

Pour plus d'informations sur la création d'un fichier de règles (rules), reportez-vous à la section Création du fichier rules du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Pour créer un fichier rules, suivez les étapes ci-dessous.

Avant de commencer

Créez le profil du client. Pour plus d'informations, reportez-vous à la section Création d'un profil.

1. Sur le serveur d'installation, créez un fichier texte nommé rules.

2. Ajoutez une règle au fichier rules pour chaque groupe de systèmes à installer.

   Pour plus d'informations sur la création d'un fichier de règles (rules), reportez-vous à la section Création du fichier rules du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

3. Enregistrez le fichier rules sur le serveur d'installation.

4. Validez le fichier rules.

   $ ./check -p path -r file-name

   -p chemin

   Valide le fichier rules à l'aide du script check de l'image du logiciel version Solaris actuelle, et non à l'aide du script check du système que vous utilisez. chemin est l'image qui figure sur un disque local ou désigne le DVD Solaris ou le 1 du logiciel Solaris CD monté.

   Utilisez cette option pour lancer la version la plus récente de la commande check si votre système exécute une version antérieure du système d'exploitation Solaris.

   -r nom_fichier

   Spécifie un autre fichier de règles que celui portant le nom rules. Cette option vous permet de tester la validité d'une règle avant de l'intégrer dans le fichier rules .

   Lors de l'exécution du script check, celui-ci établit des rapports sur la validité du fichier rules et de chaque profil. S'il ne rencontre aucune erreur, le script signale : The custom JumpStart configuration is ok. Le script check crée le fichier rules.ok.

5. Enregistrez le fichier rules.ok à un emplacement accessible au serveur d'initialisation via connexion WAN.

   Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.

   • Si le serveur d'initialisation via une connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via une connexion WAN.

   • Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

6. Vérifiez que le fichier rules.ok dépend de root et que le degré de permission est réglé sur 644.

Exemple 12–11 Création et validation du fichier rules

Les programmes JumpStart personnalisés utilisent le fichier rules pour sélectionner le profil d'installation approprié pour le système wanclient-1. Créez un fichier texte appelé rules. Ajoutez ensuite à ce fichier les mots-clés et les valeurs.

L'adresse IP du client est 192.168.198.210, et le masque de réseau est 255.255.255.0. Utilisez le mot-clé network pour indiquer le profil que les programmes JumpStart personnalisés doivent utiliser pour installer le client.

network 192.168.198.0 - wanclient_prof - 

Ce fichier rules transmet des instructions aux programmes JumpStart personnalisés pour utiliser wanclient_prof afin d'installer le logiciel version Solaris actuelle sur le client.

Appelez ce fichier de règle wanclient_rule.

Une fois le profil et le fichier rules créés, exécutez le script check pour vérifier la validité des fichiers.

wanserver# ./check -r wanclient_rule

Si le script check ne détecte aucune erreur, le script crée le fichier rules.ok.

Enregistrez le fichier rules.ok dans le répertoire /opt/apache/htdocs/flash.

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le fichier rules.ok créé, vous pouvez définir des scripts de début et de fin pour votre installation. Pour plus d'instructions, reportez-vous à la section (Facultatif) Création de scripts de début et de fin.

Si vous ne souhaitez pas définir de scripts de début et de fin, reportez-vous à la section Création des fichiers de configuration pour poursuivre l'installation et initialisation via une connexion WAN.

Voir aussi

Pour plus d'informations sur la création d'un fichier de règles (rules), reportez-vous à la section Création du fichier rules du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Les mots-clés et les valeurs du fichier rules sont décrits en détails à la section Mots-clés et valeurs des règles du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

(Facultatif) Création de scripts de début et de fin

Les scripts de début et de fin sont des scripts en Bourne shell définis par l'utilisateur et spécifiés dans le fichier rules. Un script de début effectue des tâches précédant l'installation du logiciel Solaris sur un système. Le logiciel Solaris étant installé sur votre système, un script de fin exécute des tâches avant que le système ne se réinitialise. Ces scripts ne peuvent être utilisés que si le logiciel Solaris est installé à l'aide de la méthode JumpStart personnalisée.

Les scripts de début permettent de créer des profils dérivés. Les scripts de fin permettent d'effectuer diverses tâches après l'installation, telles que l'ajout de fichiers, packages, patchs ou logiciels.

Les scripts de début et de fin doivent être stockés dans le même répertoire que les fichiers sysidcfg, rules.ok et profil sur le serveur d'installation.

• Pour plus d'informations sur la création de scripts de début, reportez-vous à la section Création de scripts de début du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

• Pour plus d'informations sur la création de scripts de fin, reportez-vous à la section Création de scripts de fin du Guide d’installation d’Oracle Solaris 10 9/10 : installation JumpStart personnalisée et installation avancée.

Pour poursuivre la préparation de l'installation et initialisation via une connexion WAN, reportez-vous à la section Création des fichiers de configuration.

Création des fichiers de configuration

Pour spécifier l'emplacement des données et fichiers nécessaires à une installation et initialisation via connexion WAN, l'initialisation via connexion WAN utilise les fichiers suivants :

• fichier de configuration système (system.conf) ;

• fichier wanboot.conf.

Cette section décrit la procédure de création et de stockage de ces deux fichiers.

Création du fichier de configuration système

Dans le fichier de configuration système, les programmes d'installation et initialisation via une connexion WAN peuvent être dirigés vers les fichiers suivants :

• Fichier sysidcfg

• fichier rules.ok ;

• profil JumpStart personnalisé.

L'installation et initialisation via connexion WAN suit les pointeurs du fichier de configuration du système pour installer et configurer le client.

Le fichier de configuration système est un fichier de texte en clair et doit être formaté selon le schéma suivant :

setting=value

Pour diriger les programmes d'installation via connexion WAN vers les fichiers sysidcfg, rules.ok et profil à l'aide d'un fichier de configuration système, procédez comme indiqué ci-dessous.

Avant de commencer

Pour créer le fichier de configuration système, vous devez au préalable créer les fichiers d'installation pour l'installation et initialisation via une connexion WAN. Reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés pour obtenir plus d'informations.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Créez un fichier texte. Attribuez un nom descriptif au fichier, par exemple, sys-conf.s10–sparc.

3. Ajoutez les entrées suivantes au fichier de configuration système.

   SsysidCF=URL_fichier_sysidcfg

   Ces réglages pointent vers le répertoire flash du serveur d'installation contenant le fichier sysidcfg. Assurez-vous que cet URL correspond au chemin d'accès du fichier sysidcfg créé lors de l'étape Création du fichier sysidcfg.

   Pour les installations WAN utilisant le protocole HTTPS, définissez un URL HTTPS valide.

   SjumpsCF=URL_fichiers_jumpstart

   Ce paramètre désigne le répertoire Solaris Flash contenant le fichier rules.ok, le fichier de profil et les scripts de début et de fin sur le serveur d'installation. Assurez-vous que cet URL correspond au chemin d'accès des fichiers JumpStart personnalisés créés lors des étapes Création d'un profil et Création d'un fichier rules.

   Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.

4. Enregistrez le fichier dans un répertoire accessible au serveur d'initialisation via connexion WAN.

   Pour des besoins d'administration, vous pouvez enregistrer le fichier dans le répertoire client approprié du répertoire /etc/netboot du serveur d'initialisation via une connexion WAN.

5. Modifiez les autorisations du fichier de configuration système sur 600.

   # chmod 600 /path/system-conf-file

   chemin

   Spécifie le chemin d'accès au répertoire contenant le fichier de configuration système.

   fichier_conf_système

   Spécifie le nom du fichier de configuration système.

Exemple 12–12 Fichier de configuration système pour une installation et initialisation via connexion WAN à travers HTTPS

Dans l'exemple suivant, les programmes d'installation et d'initialisation via une connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisé sur le serveur Web https://www.example sur le port 1234.com. Le serveur Web utilise le protocole sécurisé HTTP pour chiffrer les données et fichiers lors de l'installation.

Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire racine du document /opt/apache/htdocs.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

Exemple 12–13 Fichier de configuration système pour une installation et initialisation via connexion WAN non sécurisée

Dans l'exemple suivant, les programmes d'installation et d'initialisation via une connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisée sur le serveur Web http://www.example.com. Le serveur Web utilise l'HTTP, de sorte que les données et fichiers ne sont pas protégés au cours de l'installation.

Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire document racine /opt/apache/htdocs.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le fichier de configuration système créé, vous devez créer le fichier wanboot.conf. Pour plus d'instructions, reportez-vous à la section Création du fichier wanboot.conf.

Création du fichier wanboot.conf

Le fichier wanboot.conf est un fichier de configuration de texte en clair utilisé par les programmes d'initialisation via connexion WAN pour une installation du même type. Le programme wanboot-cgi, le système de fichiers d'initialisation et la miniracine de l'initialisation via connexion WAN utilisent toutes les informations contenues dans le fichier wanboot.conf pour installer la machine client.

Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour plus d'informations sur la définition de l'étendue de l'installation et de l'initialisation via une connexion WAN avec la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Si le serveur d'initialisation via connexion WAN exécute la version Solaris actuelle, un fichier d'exemple wanboot.conf se trouve dans /etc/netboot/wanboot.conf.sample . Vous pouvez utiliser cet exemple comme modèle pour votre installation et initialisation via connexion WAN.

Vous devez fournir les informations suivantes dans le fichierwanboot.conf .

Ces informations doivent être spécifiées en dressant la liste des paramètres avec leurs valeurs associées dans le format suivant :

parameter=value

Pour plus d'informations sur les paramètres et la syntaxe du fichier wanboot.conf, consultez la section Paramètres et syntaxe du fichier wanboot.conf.

Pour créer un fichier wanboot.conf, suivez les étapes ci-dessous.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Créez le fichier texte wanboot.conf.

   Vous pouvez créer un nouveau fichier texte appelé wanboot.conf ou utiliser l'exemple de fichier situé dans /etc/netboot/wanboot.conf.sample. Si vous utilisez l'exemple, renommez le fichier wanboot.conf après avoir ajouté les paramètres.

3. Entrez les paramètres et valeurs wanboot.conf pour votre installation.

   Pour obtenir des descriptions détaillées des valeurs et paramètres du fichier wanboot.conf, reportez-vous à la section Paramètres et syntaxe du fichier wanboot.conf.

4. Enregistrez le fichier wanboot.conf dans le sous-répertoire adéquat de la hiérarchie /etc/netboot.

   Pour plus d'informations sur la création de la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

5. Valide le fichier wanboot.conf .

   # bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf

   chemin_wanboot.conf

   Spécifie le chemin d'accès au fichier wanboot.conf du client sur le serveur d'initialisation via connexion WAN

   • Si le fichier wanboot.conf est structurellement valide, la commande bootconfchk retourne un code de sortie égal à 0.

   • Si le fichier wanboot.conf est invalide, la commande bootconfchk retourne un code de sortie différent de zéro.

6. Modifie les permissions sur le fichier wanboot.conf à 600.

   # chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf

Exemple 12–14 Fichier wanboot.conf pour une installation et initialisation via une connexion WAN à travers HTTPS

L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN utilisant l'HTTP sécurisé. Le fichier wanboot.conf indique aussi qu'une clé de chiffrement 3DES est utilisée dans cette installation.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Ce fichier wanboot.conf spécifie la configuration suivante :

boot_file=/wanboot/wanboot.s10_sparc

Le programme d'initialisation de deuxième niveau s'appelle wanboot.s10_sparc . Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est https://www.example.com:1234/cgi-bin/wanboot-cgi . La partie https de l'URL indique que cette installation et initialisation via connexion WAN utilise le protocole sécurisé HTTP.

root_file=/miniroot/miniroot.s10_sparc

La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Cette miniracine est située dans le répertoire /miniroot du répertoire document racine du serveur d'initialisation via une connexion WAN.

signature_type=sha1

Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation via une connexion WAN sont signés par l'intermédiaire d'une clé de hachage HMAC SHA1.

encryption_type=3des

Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation sont chiffrés à l'aide d'une clé 3DES.

server_authentication=yes

Le serveur est authentifié lors de l'installation.

client_authentication=no

Le client n'est pas authentifié lors de l'installation.

resolve_hosts=

Aucun nom d'hôte supplémentaire n'est nécessaire pour l'installation via une connexion WAN. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via une connexion WAN.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Facultatif) Les messages du journal d'initialisation et d'installation sont enregistrés sur le serveur d'initialisation via connexion WAN à l'aide du protocole HTTP sécurisé.

Pour plus d'informations sur la procédure de configuration d'un serveur de journalisation pour l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.

system_conf=sys-conf.s10–sparc

Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart files se trouve dans un sous-répertoire de la hiérarchie /etc/netboot. Le fichier de configuration système s'appelle sys-conf.s10–sparc.

Exemple 12–15 Fichier wanboot.conf pour une initialisation via une connexion WAN non sécurisée

L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN moins sécurisée à travers HTTP. Ce fichier wanboot.conf indique aussi que l'installation n'utilise pas de clé de chiffrement ou de hachage.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Ce fichier wanboot.conf spécifie la configuration suivante :

boot_file=/wanboot/wanboot.s10_sparc

Le programme d'initialisation de deuxième niveau s'appelle wanboot.s10_sparc . Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via une connexion WAN.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est http://www.example.com/cgi-bin/wanboot-cgi. Cette installation n'utilise pas l'HTTP sécurisé.

root_file=/miniroot/miniroot.s10_sparc

La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Cette miniracine est située dans le sous-répertoire /miniroot du répertoire document racine du serveur d'initialisation via connexion WAN.

signature_type=

Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation via une connexion WAN ne sont pas signés à l'aide d'une clé de hachage.

encryption_type=

Le programme wanboot.s10_sparc et le système de fichiers de l'initialisation ne sont pas chiffrés.

server_authentication=no

Le serveur n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.

client_authentication=no

Le client n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.

resolve_hosts=

Aucun nom d'hôte supplémentaire n'est nécessaire pour effectuer l'installation. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via une connexion WAN.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Facultatif) Les messages du journal d'initialisation et d'installation sont enregistrés sur le serveur d'initialisation via une connexion WAN.

Pour plus d'informations sur la procédure de configuration d'un serveur de journalisation pour l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Configuration du serveur de journalisation d'initialisation via une connexion WAN.

system_conf=sys-conf.s10–sparc

Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart s'appelle sys-conf.s10–sparc. Il se trouve dans le sous-répertoire approprié de la hiérarchie /etc/netboot.

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le fichier wanboot.conf créé, vous pouvez configurer un serveur DHCP, si nécessaire, pour prendre en charge l'initialisation via une connexion WAN. Pour plus d'informations, reportez-vous (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.

Si vous ne souhaitez pas utiliser de serveur DHCP dans l'installation et l'initialisation via une connexion WAN, reportez-vous à la section Vérification de l'alias de périphérique net dans l'OBP client pour poursuivre l'installation et l'initialisation via une connexion WAN.

Voir aussi

Pour plus d'informations sur les paramètres et valeurs de wanboot.conf, reportez-vous à la section Paramètres et syntaxe du fichier wanboot.conf et à la page de manuel wanboot.conf(4).

(Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP

Si un serveur DHCP est installé sur votre réseau, vous pouvez le configurer de manière à ce qu'il fournisse les informations suivantes :

• adresse IP du serveur Proxy ;

• emplacement du programme wanboot-cgi.

Vous pouvez utiliser les options fournisseur DHCP indiquées ci-dessous pour votre installation et initialisation via une connexion WAN.

SHTTPproxy

Spécifie les adresses IP du serveur proxy du réseau

SbootURI

Spécifie l'URL du programme wanboot-cgi du serveur d'initialisation via connexion WAN

Pour plus d'informations sur la définition de ces options fournisseur sur un serveur DHCP Solaris, consultez la section Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches.

Pour plus d'informations sur le paramétrage d'un serveur DHCP Solaris, reportez-vous au Chapitre 14, Configuration du service DHCP (tâches) du Guide d’administration système : services IP.

Pour poursuivre l'installation et initialisation via une connexion WAN, reportez-vous au Chapitre 13SPARC : Installation et initialisation via une connexion WAN – Tâches.

Chapitre 13 SPARC : Installation et initialisation via une connexion WAN – Tâches

Ce chapitre décrit la procédure d'installation et d'initialisation via une connexion WAN sur un client SPARC. Pour plus d'informations sur la préparation d'une installation et initialisation via une connexion WAN, reportez-vous au Chapitre 12Installation à l'aide de l'Initialisation via connexion WAN - Tâches .

Ce chapitre décrit les tâches suivantes :

• Préparation du client à une installation et initialisation via une connexion WAN

• Installation du client

Liste des tâches : installation d'un client par initialisation via connexion WAN

Le tableau suivant présente les tâches à effectuer pour installer un client sur un réseau étendu (WAN).

Préparation du client à une installation et initialisation via une connexion WAN

Avant d'installer le système client, préparez le client en exécutant les tâches suivantes :

• Vérification de l'alias de périphérique net dans l'OBP client

• Installation de clés sur le client

Vérification de l'alias de périphérique net dans l'OBP client

Pour initialiser le client via connexion WAN à l'aide de la commande boot net, l'alias de périphérique net doit être défini au niveau du périphérique réseau principal du client. Sur la plupart des systèmes, cet alias est déjà correctement défini. Toutefois, s'il n'est pas défini sur le périphérique du réseau que vous voulez utiliser, vous devez modifier l'alias.

Pour de plus amples informations sur la définition des alias de périphériques, reportez-vous à la section "The Device Tree" du manuel OpenBoot 3.x Command Reference Manual.

Pour vérifier l'alias de périphérique net sur le client, procédez comme indiqué ci-dessous.

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le client.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

2. Mettez le système au niveau d'exécution 0.

   # init 0

   L'invite ok s'affiche.

3. À l'invite ok, vérifiez les alias de périphériques définis dans l'OBP.

   ok devalias

   La commande devalias génère des informations similaires à l'exemple suivant :

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • Si l'alias net est défini sur le périphérique du réseau que vous souhaitez utiliser pendant l'installation, il n'est pas nécessaire de redéfinir l'alias. Consultez la section Installation de clés sur le client pour poursuivre l'installation.

   • Si l'alias net n'est pas défini sur le périphérique réseau que vous souhaitez utiliser, vous devez redéfinir l'alias. Continuez.

4. Définissez l'alias de périphérique net.

   Choisissez une des commandes suivantes pour définir l'alias de périphérique net.

   • Si vous voulez définir l'alias de périphérique net pour cette installation uniquement, utilisez la commande devalias.

     ok devalias net device-path

     net chemin_périphérique

     Assigne le périphérique chemin_périphérique à l'alias net.

   • Pour définir l'alias de périphérique net de façon permanente, utilisez la commande nvalias.

     ok nvalias net device-path

     net chemin_périphérique

     Affecte le périphérique chemin_périphérique à l'alias net

Exemple 13–1 Vérification et redéfinition de l'alias de périphérique net

Les commandes suivantes indiquent comment vérifier et redéfinir l'alias de périphérique net.

Vérifiez les alias de périphériques.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Si vous souhaitez utiliser le périphérique réseau /pci@1f,0/pci@1,1/network@5,1, entrez la commande suivante :

ok devalias net /pci@1f,0/pci@1,1/network@5,1

Poursuite de l'installation et initialisation via une connexion WAN

Après avoir vérifié l'alias de périphérique net, reportez-vous à la section appropriée pour continuer l'installation.

• Si vous utilisez une clé de hachage et une clé de chiffrement pour l'installation, reportez-vous à la section Installation de clés sur le client.

• Si vous effectuez une installation avec un niveau de sécurité inférieur sans aucune clé, reportez-vous à la section Installation du client.

Installation de clés sur le client

Les installations et initialisations via connexion WAN sécurisées ou les installations non sécurisées avec contrôle de l'intégrité des données nécessitent l'installation de clés sur le client. La clé de hachage et la clé de chiffrement permettent de protéger les données transmises au client. Pour installer ces clés, procédez comme indiqué ci-dessous.

• Définissez des variables OBP : vous pouvez assigner les valeurs des clés aux variables des arguments d'initialisation du réseau OBP avant d'initialiser le client. Ces clés pourront ensuite être utilisées pour d'autres installations et initialisations via connexion WAN du client.

• Entrez les valeurs de ces clés au cours du processus d'initialisation. Vous pouvez définir les valeurs des clés à l'invite boot> du programme wanboot. Si vous optez pour cette méthode, les clés ne seront utilisées que pour l'installation et initialisation via une connexion WAN en cours.

Vous pouvez également installer les clés dans l'OBP d'un client en cours de fonctionnement. Si vous souhaitez installer des clés sur un client en cours d'exécution, le système doit fonctionner sous le système d'exploitation Solaris 9 12/03, ou une version compatible.

Au moment où vous installez les clés sur le client, veillez à ce que les valeurs des clés ne soient pas transmises via une connexion non sécurisée. Conformez-vous aux procédures de sécurité de votre site pour garantir la confidentialité des valeurs des clés.

• Pour plus d'informations sur la procédure d'attribution des valeurs de clé aux variables des arguments d'initialisation du réseau OBP, reportez-vous à la section Installation de clés dans l'OBP client.

• Pour plus d'informations sur la procédure d'installation des clés lors du processus d'initialisation, reportez-vous à la section Installation et initialisation via une connexion WAN interactive.

• Pour plus d'instructions sur l'installation de clés dans l'OBP d'un client en cours de fonctionnement, reportez-vous à la section Procédure d'installation d'une clé de hachage et d'une clé de chiffrement sur un client en cours de fonctionnement.

Installation de clés dans l'OBP client

Vous pouvez assigner les valeurs de clé aux variables des arguments d'initialisation du réseau OBP avant d'initialiser le client. Ces clés pourront ensuite être utilisées pour d'autres installations et initialisations via connexion WAN du client.

Pour installer des clés dans le client OBP, effectuez les étapes ci-après.

Pour assigner des valeurs aux variables des arguments d'initialisation du réseau OBP, procédez comme indiqué ci-dessous.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Affichez la valeur de chaque clé du client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip_réseau

   Adresse IP du sous-réseau du client.

   ID_client

   ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

   type_clé

   Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.

   La valeur hexadécimale de la clé s'affiche.

3. Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.

4. Mettez le système client au niveau d'exécution 0.

   # init 0

   L'invite ok s'affiche.

5. À l'invite ok, définissez la valeur de la clé de hachage.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   Installe la clé sur le client.

   wanboot-hmac-sha1

   Donne des instructions à l'OBP pour installer une clé de hachage HMAC SHA1.

   valeur_clé

   Spécifie la chaîne de caractères hexadécimaux affichée à l'Étape 2.

   La clé de hachage HMAC SHA1 est installée dans l'OBP client.

6. À l'invite ok du client, installez la clé de chiffrement.

   ok set-security-key wanboot-3des key-value

   set-security-key

   Installe la clé sur le client.

   wanboot-3des

   Donne des instructions à l'OBP pour installer une clé de chiffrement Si vous voulez utiliser une clé de chiffrement AES, définissez cette valeur sur wanboot-aes.

   valeur_clé

   Spécifie la chaîne de caractères hexadécimaux représentant la clé de chiffrement.

   La clé de chiffrement 3DES est installée dans l'OBP client.

   Une fois les clés installées, vous pouvez procéder à l'installation du client. Reportez-vous à la section Installation du client pour connaître la procédure d'installation du système client.

7. (Facultatif) Vérifiez que les clés sont définies dans l'OBP client.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Facultatif) Si vous avez besoin de supprimer une clé, entrez la commande suivante :

   ok set-security-key key-type

   type_clé

   Spécifie le type de clé à supprimer. Utilisez la valeur wanboot-hmac-sha1, wanboot-3des ou wanboot-aes.

Exemple 13–2 Installation de clés dans l'OBP client

L'exemple suivant montre comment installer une clé de hachage ou une clé de chiffrement dans l'OBP client.

Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Cet exemple utilise les informations suivantes :

net=192.168.198.0

Indique l'adresse IP du sous-réseau du client.

cid=010003BA152A42

Indique l'ID client.

b482aaab82cb8d5631e16d51478c90079cc1d463

Indique la valeur de la clé de hachage HMAC SHA1 du client.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Indique la valeur de la clé de chiffrement 3DES du client.

Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez wanboot-3des par wanboot-aes afin d'afficher la valeur de la clé de chiffrement.

Installez les clés sur le système client.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Ces commandes effectuent les tâches suivantes :

• Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.

• Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.

  Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez wanboot-3des par wanboot-aes.

Poursuite de l'installation et initialisation via une connexion WAN

Une fois les clés installées sur le client, vous pouvez installer le client sur le réseau WAN. Pour plus d'instructions, reportez-vous à la section Installation du client.

Voir aussi

Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à la page de manuel wanbootutil(1M).

Procédure d'installation d'une clé de hachage et d'une clé de chiffrement sur un client en cours de fonctionnement

Vous pouvez définir des valeurs de clé à l'invite boot> du programme wanboot sur un système en cours d'exécution. Si vous optez pour cette méthode, les clés ne seront utilisées que pour l'installation et initialisation via une connexion WAN en cours.

Si vous souhaitez installer une clé de hachage et une clé de chiffrement dans l'OBP d'un client en cours de fonctionnement, procédez comme indiqué ci-dessous.

Avant de commencer

Cette procédure suppose que :

• Le système client est sous tension.

• Le client est accessible via une connexion sécurisée, telle un shell sécurisé (ssh).

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Affichez la valeur des clés du client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip_réseau

   Adresse IP du sous-réseau du client.

   ID_client

   ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

   type_clé

   Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.

   La valeur hexadécimale de la clé s'affiche.

3. Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.

4. Connectez-vous en tant que superutilisateur (ou équivalent) sur le client.

   ---

   Remarque –

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour de plus amples informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

   ---

5. Installez les clés nécessaires sur la machine du client en cours de fonctionnement.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   type_clé

   Spécifie le type de clé que vous souhaitez installer sur le client. Ces types de clé peuvent être 3des, aes ou sha1.

   valeur_clé

   Spécifie la chaîne de caractères hexadécimaux affichée à l'Étape 2.

6. Répétez les étapes précédentes pour chaque type de clé que vous souhaitez installer.

   Une fois les clés installées, vous êtes prêt pour l'installation du client. Reportez-vous à la section Installation du client pour connaître la procédure d'installation du système client.

Exemple 13–3 Installation de clés dans l'OBP d'un système client en cours de fonctionnement

L'exemple suivant montre comment installer des clés dans l'OBP d'un client en cours de fonctionnement.

Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Cet exemple utilise les informations suivantes :

net=192.168.198.0

Indique l'adresse IP du sous-réseau du client.

cid=010003BA152A42

Indique l'ID client.

b482aaab82cb8d5631e16d51478c90079cc1d463

Indique la valeur de la clé de hachage HMAC SHA1 du client.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Indique la valeur de la clé de chiffrement 3DES du client.

Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.

Installe les clés dans l'OBP d'un client en cours de fonctionnement.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Ces commandes effectuent les tâches suivantes :

• Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.

• Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.

Poursuite de l'installation et initialisation via une connexion WAN

Une fois les clés installées sur le client, vous pouvez installer le client sur le réseau WAN. Pour plus d'instructions, reportez-vous à la section Installation du client.

Voir aussi

Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à la page de manuel wanbootutil(1M).

Pour plus d'informations sur la procédure d'installation des clés sur un système en cours de fonctionnement, reportez-vous à la page de manuel ickey(1M).

Installation du client

Après avoir préparé votre réseau à l'installation et l'initialisation via une connexion WAN, vous pouvez choisir une des méthodes présentées ci-dessous pour installer le système.

Installation et initialisation via une connexion WAN non interactive

Cette méthode d'installation peut être utilisée si vous souhaitez installer les clés et définir les informations de configuration du client avant d'installer ce dernier. Vous pouvez ensuite initialiser le client à partir du réseau étendu et procéder à une installation sans surveillance.

Cette procédure présuppose que vous avez installé les clés dans l'OBP client ou que vous effectuez une installation non sécurisée. Pour plus d'informations sur l'installation des clés sur le client avant l'installation, reportez-vous à la section Installation de clés sur le client.

1. Si le système client est en cours de fonctionnement, mettez le système au niveau d'exécution 0.

   # init 0

   L'invite ok s'affiche.

2. À l'invite ok du système client, définissez les variables des arguments d'initialisation du réseau dans l'OBP.

   ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL

   ---

   Remarque –

   Les retours à la ligne dans cet exemple de commande ne figurent que pour des raisons de mise en forme. N'entrez pas de retour à la ligne avant d'avoir fini d'entrer la commande.

   ---

   setenv network-boot-arguments

   Indique à l'OBP de définir les arguments d'initialisation suivants

   host-ip=IP_client

   Spécifie l'adresse IP du client

   router-ip=ip_routeur

   Spécifie l'adresse IP du routeur du réseau

   subnet-mask=valeur_masque

   Spécifie la valeur du masque du sous-réseau

   hostname=nom_client

   Spécifie le nom d'hôte du client

   (Facultatif) http-proxy=ip_proxy:port

   Spécifie l'adresse IP et le port du serveur proxy du réseau

   file=URL_wanbootCGI

   Spécifie l'URL du programme wanboot-cgi sur le serveur Web.

3. Initialisez le client.

   ok boot net - install

   net - install

   Donne des instructions au client pour utiliser les variables des arguments d'initialisation du réseau à partir d'un réseau étendu

   Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.

Exemple 13–4 Installation et initialisation via connexion WAN non interactive

Dans l'exemple suivant, les variables des arguments d'initialisation du réseau pour le système client myclient sont définies avant l'initialisation de la machine. Cet exemple présuppose qu'une clé de hachage et une clé de chiffrement sont déjà installées sur le client. Pour plus d'informations sur l'installation des clés avant l'initialisation à partir du réseau étendu, reportez-vous à la section Installation de clés sur le client.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Les variables suivantes sont définies :

• L'adresse IP du client est définie sur 192.168.198.136.

• L'adresse IP du routeur du client est définie sur 192.168.198.129.

• Le masque de sous-réseau du client est défini sur 255.255.255.192.

• Le nom d'hôte du client est défini sur seahag.

• Le programme wanboot-cgi se trouve sur http://192.168.198.135/cgi-bin/wanboot-cgi.

Voir aussi

Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).

Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).

Installation et initialisation via une connexion WAN interactive

Cette méthode d'installation peut être utilisée si vous souhaitez installer des clés et définir les informations de configuration du client sur la ligne de commande durant l'installation.

Cette procédure présuppose que vous utilisez l'HTTPS dans votre installation via connexion WAN. Si vous faites une installation non sécurisée sans clés, n'affichez pas ou n'installez pas les clés du client.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Affichez la valeur de chaque clé du client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip_réseau

   Adresse IP du sous-réseau du client que vous voulez installer.

   ID_client

   ID du client que vous voulez installer. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

   type_clé

   Type de clé que vous souhaitez installer sur le client. Ces types peuvent être 3des, aes ou sha1.

   La valeur hexadécimale de la clé s'affiche.

3. Répétez les étapes précédentes pour chaque type de clé de client que vous installez.

4. Si le système client est en cours de fonctionnement, mettez le client au niveau d'exécution 0.

5. À l'invite ok du système client, définissez les variables d'initialisation du réseau dans l'OBP.

   ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

   ---

   Remarque –

   Les retours à la ligne dans cet exemple de commande ne figurent que pour des raisons de mise en forme. N'entrez pas de retour à la ligne avant d'avoir fini d'entrer la commande.

   ---

   setenv network-boot-arguments

   Donne des instructions à l'OBP pour la définition des arguments d'initialisation indiqués ci-après.

   host-ip=IP_client

   Spécifie l'adresse IP du client.

   router-ip=ip_routeur

   Spécifie l'adresse IP du routeur du réseau.

   subnet-mask=valeur_masque

   Spécifie la valeur du masque du sous-réseau.

   hostname=nom_client

   Spécifie le nom d'hôte du client.

   (Facultatif) http-proxy=ip_proxy:port

   Spécifie l'adresse IP et le port du serveur proxy du réseau

   bootserver=URL_wanbootCGI

   Spécifie l'URL du programme wanboot-cgi sur le serveur Web.

   ---

   Remarque –

   La valeur de l'URL pour la variable bootserver ne doit pas correspondre à un URL HTTPS. L'URL doit commencer par http://.

   ---

6. À l'invite ok du client, initialisez le système.

   ok boot net -o prompt - install

   net -o prompt - install

   Donne des instructions au client pour l'initialisation et l'installation à partir du réseau. Le programme wanboot demande à l'utilisateur d'entrer les informations de configuration du client à l'invite boot>.

   L'invite boot> s'affiche.

7. Installez la clé de chiffrement.

   boot> 3des=key-value

   3des=valeur_clé

   Spécifie la chaîne de caractères hexadécimaux de la clé 3DES affichée à l'Étape 2.

   Si vous utilisez une clé de chiffrement AES, utilisez pour cette commande le format suivant :

   boot> aes=key-value

8. Installation de la clé de hachage.

   boot> sha1=key-value

   sha1=valeur_clé

   Spécifie la valeur de la clé de hachage affichée à l'Étape 2.

9. Entrez la commande suivante pour continuer le processus d'initialisation :

   boot> go

   Le client s'installe sur le réseau étendu.

10. Entrez les informations de configuration du client sur la ligne de commande si vous y êtes invité.

    Si les programmes d'initialisation via une connexion WAN ne trouvent pas toutes les informations d'installation requises, le programme wanboot vous invite à fournir les informations manquantes. Entrez les informations manquantes à l'invite.

Exemple 13–5 Installation et initialisation via connexion WAN interactive

Dans l'exemple suivant, le programme wanboot vous demande de définir les valeurs des clés du système client au cours de l'installation.

Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Cet exemple utilise les informations suivantes :

net=192.168.198.0

Indique l'adresse IP du sous-réseau du client.

cid=010003BA152A42

Indique l'ID client.

b482aaab82cb8d5631e16d51478c90079cc1d463

Indique la valeur de la clé de hachage HMAC SHA1 du client.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Indique la valeur de la clé de chiffrement 3DES du client.

Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.

Définissez les variables d'initialisation du réseau dans l'OBP client.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

Les variables suivantes sont définies :

• L'adresse IP du client est définie sur 192.168.198.136.

• L'adresse IP du routeur du client est définie sur 192.168.198.129.

• Le masque de sous-réseau du client est défini sur 255.255.255.192.

• Le nom d'hôte du client est défini sur myclient

• Le programme wanboot-cgi se trouve sur http://192.168.198.135/cgi-bin/wanboot-cgi.

Initialisez et installez le client.

ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

Ces commandes effectuent les tâches suivantes :

• Installation de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client.

• Installation de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client.

• Démarrage de l'installation.

Voir aussi

Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à wanbootutil(1M).

Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).

Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).

Installation et initialisation via une connexion WAN avec un serveur DHCP

Si vous avez configuré un serveur DHCP pour la prise en charge des options d'initialisation via connexion WAN, vous pouvez utiliser ce serveur pour fournir au client les informations de configuration lors de l'installation. Pour plus d'informations sur la configuration d'un serveur DHCP pour prendre en charge l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.

Cette procédure suppose que :

• Le système client est en cours de fonctionnement.

• Vous avez installé des clés sur le client ou vous effectuez une installation non sécurisée.

  Pour plus d'informations sur l'installation des clés sur le client avant l'installation, reportez-vous à la section Installation de clés sur le client.

• Votre serveur DHCP est configuré pour la prise en charge des options d'initialisation via une connexion WAN SbootURI et SHTTPproxy.

  Ces options permettent au serveur DHCP de fournir les informations de configuration nécessaires à l'initialisation via connexion WAN.

  Pour plus d'informations sur la définition des options d'installation sur le serveur DHCP, reportez-vous à la section Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches.

1. Si le système client est en cours de fonctionnement, mettez le système au niveau d'exécution 0.

   # init 0

   L'invite ok s'affiche.

2. À l'invite ok du système client, définissez les variables des arguments d'initialisation du réseau dans l'OBP.

   ok setenv network-boot-arguments dhcp,hostname=client-name

   setenv network-boot-arguments

   Donne des instructions à l'OBP pour la définition des arguments d'initialisation indiqués ci-après.

   dhcp

   Donne des instructions à l'OBP pour l'utilisation du serveur DHCP pour configurer le client.

   hostname=nom_client

   Spécifie le nom d'hôte que vous souhaitez assigner au client.

3. Initialisez le client à partir du réseau.

   ok boot net - install

   net - install

   Donne des instructions au client pour utiliser les variables des arguments d'initialisation du réseau à partir d'un réseau étendu

   Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.

Exemple 13–6 Installation et initialisation via connexion WAN avec un serveur DHCP

Dans l'exemple suivant, le serveur DHCP sur le réseau fournit des informations de configuration client. Dans cet exemple, le nom d'hôte myclient est requis pour le client.

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Voir aussi

Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).

Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).

Pour plus d'informations sur la procédure de configuration d'un serveur DHCP, reportez-vous à la section (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP.

Installation et initialisation via une connexion WAN avec un CD local

Si l'OBP de votre client ne prend pas en charge l'initialisation via une connexion WAN, vous pouvez effectuer l'installation à partir du CD 1 du logiciel Solaris inséré dans le lecteur de CD du client. Lorsque vous utilisez un CD local, le client recherche le programme wanboot sur le média local, au lieu de le rechercher sur le serveur d'initialisation via connexion WAN.

Cette procédure présuppose que vous utilisez l'HTTPS dans votre installation via connexion WAN. Si vous effectuez une installation non sécurisée, n'affichez pas ou n'installez pas les clés du client.

Pour effectuer une installation et initialisation via une connexion WAN à partir d'un CD local, procédez comme indiqué ci-dessous.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Affichez la valeur de chaque clé du client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip_réseau

   Adresse IP du réseau du client que vous installez.

   ID_client

   ID du client que vous installez. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

   type_clé

   Type de clé que vous installez sur le client. Ces types peuvent être 3des, aes ou sha1.

   La valeur hexadécimale de la clé s'affiche.

3. Répétez les étapes précédentes pour chaque type de clé de client que vous installez.

4. Sur le système client, insérez le 1 du logiciel Solaris CD dans l'unité de CD-ROM.

5. Mettez le système client sous tension.

6. Initialisez le client à partir du CD.

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   Donne des instructions à l'OBP pour initialiser à partir d'un CD local.

   -o prompt

   Donne des instructions au programme wanboot pour demander à l'utilisateur d'entrer les informations de configuration du client.

   -F wanboot

   Donne des instructions à l'OBP pour le chargement du programme wanboot à partir du CD.

   - install

   Donne des instructions au client pour effectuer une installation et initialisation via connexion WAN.

   L'OBP client charge le programme wanboot à partir du 1 du logiciel Solaris. Le programme wanboot initialise le système et l'invite boot> s'affiche.

7. Entrez la valeur de la clé de chiffrement.

   boot> 3des=key-value

   3des=valeur_clé

   Spécifie la chaîne de caractères hexadécimaux de la clé 3DES affichée à l'Étape 2.

   Si vous utilisez une clé de chiffrement AES, utilisez pour cette commande le format suivant :

   boot> aes=key-value

8. Entrez la valeur de la clé de hachage.

   boot> sha1=key-value

   sha1=valeur_clé

   Spécifie la chaîne de caractères hexadécimaux représentant la valeur de la clé de hachage affichée à l'Étape 2.

9. Définissez les variables de l'interface du réseau.

   boot> variable=value[,variable=value*]

   Entrez les paires de variable et valeur ci-dessous à l'invite de boot>.

   host-ip=IP_client

   Spécifie l'adresse IP du client.

   router-ip=ip_routeur

   Spécifie l'adresse IP du routeur du réseau.

   subnet-mask=valeur_masque

   Spécifie la valeur du masque du sous-réseau.

   hostname=nom_client

   Spécifie le nom d'hôte du client.

   (Facultatif) http-proxy=ip_proxy:port

   Spécifie l'adresse IP et le numéro de port du serveur proxy du réseau.

   bootserver=URL_wanbootCGI

   Spécifie l'URL du programme wanboot-cgi sur le serveur Web.

   ---

   Remarque –

   La valeur de l'URL pour la variable bootserver ne doit pas correspondre à un URL HTTPS. L'URL doit commencer par http://.

   ---

   Vous pouvez entrer ces variables de la manière indiquée ci-dessous.

   • Entrez une paire de variable et de valeur à l'invite de boot>, puis appuyez sur la touche Entrée.

     boot> host-ip=client-IP boot> subnet-mask=mask-value

   • Entrez toutes les paires de variable et de valeur sur une ligne de l'invite de boot> puis appuyez sur la touche Entrée. Entrez des virgules pour séparer chaque couple de variable et valeur.

     boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

10. Entrez la commande suivante pour continuer le processus d'initialisation :

    boot> go

    Le client est installé sur le réseau étendu. Si les programmes d'initialisation via connexion WAN ne trouvent pas toutes les informations d'installation nécessaires, le programme wanboot demande de les fournir. Entrez les informations manquantes à l'invite.

Exemple 13–7 Installation avec un CD local

Dans l'exemple suivant, le programme wanboot installé sur un CD local vous demande de définir les variables de l'interface du réseau pour le client au cours de l'installation.

Affichez les valeurs de la clé sur le serveur d'initialisation via une connexion WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Cet exemple utilise les informations suivantes :

net=192.168.198.0

Indique l'adresse IP du sous-réseau du client.

cid=010003BA152A42

Indique l'ID client.

b482aaab82cb8d5631e16d51478c90079cc1d463

Indique la valeur de la clé de hachage HMAC SHA1 du client.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Indique la valeur de la clé de chiffrement 3DES du client.

Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.

Initialisez et installez le client.

ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

Ces commandes effectuent les tâches suivantes :

• entrée de la clé de chiffrement dont la valeur est 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le client ;

• entrée de la clé de hachage HMAC SHA1 dont la valeur est b482aaab82cb8d5631e16d51478c90079cc1d463 sur le client ;

• définition de l'adresse IP du client sur 192.168.198.124 ;

• définition du masque de sous-réseau du client sur 255.255.255.192 ;

• définition de l'adresse IP du routeur du client sur 192.168.198.129 ;

• définition du nom d'hôte du client sur myclient ;

• définition de l'ID du client sur 010003BA152A42 ;

• définition de l'emplacement du programme wanboot-cgi sur http://192.168.198.135/cgi-bin/wanboot-cgi/.

Voir aussi

Pour plus d'informations sur l'affichage des valeurs des clés, reportez-vous à wanbootutil(1M).

Pour plus d'informations sur la définition des arguments d'initialisation du réseau, reportez-vous à la page de manuel set(1).

Pour plus d'informations sur l'initialisation d'un système, reportez-vous à la page de manuel boot(1M).

Chapitre 14 SPARC : installation et initialisation via connexion WAN – Exemples

Vous trouverez dans ce chapitre des exemples de paramétrage et d'installation de systèmes clients via une connexion WAN. Ces exemples décrivent la procédure d'installation et initialisation via connexion WAN à l'aide d'une connexion HTTPS.

• Exemple de configuration d'un site

• Procédure de création du répertoire racine du document

• Création de la miniracine de l'initialisation via connexion WAN

• Vérification de l'OBP client pour la prise en charge de l'initialisation via une connexion WAN

• Installation du programme wanboot sur le serveur d'initialisation via connexion WAN

• Création de la hiérarchie /etc/netboot

• Copie du programme wanboot-cgi vers le serveur d'initialisation via connexion WAN

• (Facultatif) Configuration du serveur d'initialisation via une connexion WAN comme serveur de journalisation.

• Configuration du serveur d'initialisation via connexion WAN en vue d'utiliser l'HTTPS

• Transmission du certificat de confiance au client

• (Facultatif) Utilisation d'une clé privée et d'un certificat pour l'authentification client

• Création des clés pour le serveur et le client

• Création de l'archive Solaris Flash

• Création du fichier sysidcfg

• Création du profil du client

• Création et validation du fichier rules

• Création du fichier de configuration système

• Création du fichier wanboot.conf

• Vérification de l'alias de périphérique net dans l'OBP

• Installation des clés du client

• Installation du client

Exemple de configuration d'un site

La Figure 14–1 illustre la configuration du site pour cet exemple.

Figure 14–1 Exemple de configuration d'un site pour une installation et initialisation via une connexion WAN

Cet exemple de site présente les caractéristiques suivantes :

• Le serveur wanserver-1 doit être configuré en tant que serveur d'initialisation via connexion WAN et serveur d'installation.

• L'adresse IP de wanserver-1 est 192.168.198.2.

• Le nom de domaine de wanserver-1 est www.example.com.

• wanserver-1 exécute la version Solaris actuelle.

• wanserver-1 utilise le serveur Web Apache. Le logiciel Apache de wanserver-1 est configuré pour prendre en charge le protocole HTTPS.

• Le client à installer est nommé wanclient-1.

• wanclient-1 est un système UltraSPARCII.

• L'ID client pour wanclient-1 est 010003BA152A42.

• L'adresse IP de wanclient-1 est 192.168.198.210.

• L'adresse IP du sous-réseau du client est 192.168.198.0.

• Le système client wanclient-1 dispose d'un accès à Internet, mais n'est pas directement connecté au réseau incluant wanserver-1.

• wanclient-1 est un nouveau système qui doit être installé avec le logiciel version Solaris actuelle.

Procédure de création du répertoire racine du document

Pour stocker les fichiers et les données d'installation, définissez les répertoires suivants dans le répertoire racine du document (/opt/apache/htdocs) de wanserver-1.

• Répertoire Solaris Flash

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• Répertoire miniracine de l'initialisation via une connexion WAN

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• Répertoire du programme wanboot

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

Création de la miniracine de l'initialisation via connexion WAN

Utilisez la commande setup_install_server(1M) avec l'option -w pour copier la miniracine de l'initialisation via une connexion WAN et l'image du logiciel Solaris dans le répertoire /export/install/Solaris_10 de wanserver-1.

Insérez le support Logiciel Solaris dans le lecteur relié à wanserver-1. Entrez les commandes suivantes :

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Déplacez la miniracine de l'initialisation via une connexion WAN vers le répertoire document racine (/opt/apache/htdocs/) du serveur d'initialisation via une connexion WAN.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Vérification de l'OBP client pour la prise en charge de l'initialisation via une connexion WAN

Déterminez si l'OBP client prend en charge l'initialisation via connexion WAN en entrant la commande suivante sur le système client :

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Dans l'exemple précédent, le résultat network-boot-arguments: data not available indique que l'OBP client prend en charge l'initialisation via connexion WAN.

Installation du programme wanboot sur le serveur d'initialisation via connexion WAN

Pour installer le programme wanboot sur le serveur d'initialisation via une connexion WAN, copiez le programme à partir du média logiciel Logiciel Solaris vers le répertoire document racine du serveur d'initialisation via une connexion WAN.

Insérez le DVD Solaris ou le 1 du logiciel Solaris dans le lecteur de support relié à wanserver-1 et entrez les commandes suivantes :

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Création de la hiérarchie /etc/netboot

Créez les sous-répertoires wanclient-1 du répertoire /etc/netboot sur le serveur d'initialisation via une connexion WAN. Lors de l'installation, les programmes d'installation et initialisation via connexion WAN extraient des informations de configuration et de sécurité à partir de ce répertoire.

wanclient-1 se situe sur le sous-réseau 192.168.198.0 et son ID client est 010003BA152A42. Pour créer le sous-répertoire approprié de /etc/netboot pour wanclient-1, effectuez les tâches suivantes :

• Créez le répertoire /etc/netboot.

• Modifiez les autorisations du répertoire /etc/netboot sur 700.

• Modifiez la propriété du répertoire /etc/netboot en l'attribuant au propriétaire du processus du serveur Web.

• Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.

• Créez un sous-répertoire de /etc/netboot nommé comme le sous-réseau (192.168.198.0).

• Créez un sous-répertoire du répertoire du sous-réseau nommé comme l'ID client.

• Modifiez les autorisations du sous-répertoire /etc/netboot sur 700.

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Copie du programme wanboot-cgi vers le serveur d'initialisation via connexion WAN

Sur les systèmes qui exécutent la version Solaris actuelle, le programme wanboot-cgi se trouve dans le répertoire /usr/lib/inet/wanboot/. Pour permettre au serveur d'initialisation via une connexion WAN de transmettre les données d'installation, copiez le programme wanboot-cgi vers le répertoire cgi-bin du répertoire du logiciel du serveur Web.

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Facultatif) Configuration du serveur d'initialisation via une connexion WAN comme serveur de journalisation.

Par défaut, tous les messages de journalisation via une connexion WAN sont affichés sur le système client. Ce paramètre par défaut vous permet de déboguer rapidement les problèmes d'installation.

Pour visualiser les messages d'initialisation et d'installation sur le serveur d'initialisation via une connexion WAN, copiez le script bootlog-cgi dans le répertoire cgi-bin sur wanserver-1.

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Configuration du serveur d'initialisation via connexion WAN en vue d'utiliser l'HTTPS

Pour utiliser l'HTTPS lors de votre installation et initialisation via une connexion WAN, vous devez activer le support SSL du logiciel du serveur Web. Vous devez également installer un certificat numérique sur le serveur d'initialisation via connexion WAN. Dans cet exemple, on suppose que le serveur Web Apache sur wanserver-1 est configuré pour utiliser le protocole SSL. Il suppose également qu'un certificat numérique et une autorité de certification établissant l'identité de wanserver-1 sont déjà installés sur wanserver-1.

Vous trouverez des exemples de configuration du logiciel de votre serveur Web pour l'utilisation du SSL dans sa documentation.

Transmission du certificat de confiance au client

En demandant au serveur de s'authentifier auprès du client, vous protégez les données transmises au client à partir du serveur via HTTPS. Pour permettre l'authentification serveur, vous devez fournir un certificat de confiance au client. Ce certificat permet au client de vérifier l'identité du serveur lors de l'installation.

Pour fournir ce certificat de confiance au client, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Divisez ensuite le certificat pour extraire un certificat de confiance. Ensuite, ajoutez le certificat de confiance au fichier truststore du client qui figure dans la hiérarchie /etc/netboot.

Dans cet exemple, vous utilisez le rôle d'utilisateur du serveur Web nobody. Vous divisez ensuite le certificat du serveur PKCS#12 appelé cert.p12 et insérez le certificat de confiance dans le répertoire /etc/netboot pour wanclient-1.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Facultatif) Utilisation d'une clé privée et d'un certificat pour l'authentification client

Pour protéger davantage vos données au cours de l'installation, vous pouvez aussi demander au client wanclient-1 de s'authentifier auprès du serveur wanserver-1. Pour permettre l'authentification client lors de votre installation et initialisation via connexion WAN, insérez le certificat et la clé privée client dans le sous-répertoire client de la hiérarchie /etc/netboot.

Pour fournir une clé privée et un certificat au client, exécutez les tâches suivantes :

• Endossez le même rôle d'utilisateur que l'utilisateur du serveur Web.

• Diviser le fichier PKCS#12 afin d'obtenir une clé privée et un certificat client.

• Insérez le certificat dans le fichier certstore du client.

• Insérez la clé privée dans le fichier keystore du client.

Dans cet exemple, vous utilisez le rôle d'utilisateur du serveur Web nobody. Vous divisez ensuite le certificat du serveur PKCS#12 nommé cert.p12. Vous insérez le certificat dans la hiérarchie /etc/netboot pour wanclient-1. Vous insérez ensuite la clé privée que vous avez appelée wanclient.key dans le fichier keystore du client.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Création des clés pour le serveur et le client

Pour protéger les données transmises entre le serveur et le client, vous créez une clé de hachage et une clé de chiffrement. Le serveur utilise la clé de hachage pour protéger l'intégrité du programme wanboot et la clé de chiffrement pour chiffrer les données de configuration et d'installation. Le client utilise la clé de hachage pour vérifier l'intégrité du programme wanboot téléchargé et la clé de chiffrement pour déchiffrer les données lors de l'installation.

Endossez d'abord le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.

wanserver-1# su nobody
Password:

Utilisez ensuite la commande wanbootutil keygen pour créer une clé HMAC SHA1 maîtresse pour wanserver-1.

wanserver-1# wanbootutil keygen -m

Puis créez une clé de hachage et une clé de chiffrement pour wanclient-1.

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

La commande précédente crée une clé de hachage HMAC SHA1 et une clé de chiffrement 3DES pour wanclient-1. 192.168.198.0 indique le sous-réseau de wanclient-1, et 010003BA152A42 l'ID client de wanclient-1.

Création de l'archive Solaris Flash

Dans cet exemple, vous créez votre archive Solaris Flash en clonant le système maître wanserver-1. Le nom de l'archive est sol_10_sparc, et cette archive est copiée à partir du système maître. L'archive est une copie exacte du système maître. L'archive est stockée dans sol_10_sparc.flar. Vous sauvegardez l'archive dans le sous-répertoire flash/archives du répertoire document racine sur le serveur d'initialisation via connexion WAN.

wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Création du fichier sysidcfg

Pour préconfigurer le système wanclient-1, indiquez les mots-clés et les valeurs dans le fichier sysidcfg. Sauvegardez ce fichier dans le sous-répertoire approprié du répertoire document racine sur wanserver-1.

Exemple 14–1 Fichier sysidcfg pour le système client-1

Un exemple de fichier sysidcfg pour wanclient-1 est présenté ci-après. Le nom d'hôte, l'adresse IP et le masque de réseau de ces systèmes ont été préconfigurés dans le service d'attribution de noms utilisé. Ce fichier est situé dans le répertoire /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Création du profil du client

Pour le système wanclient-1, créez un profil appelé wanclient_1_prof. Le fichier wanclient_1_prof comporte les entrées ci-dessous définissant le logiciel version Solaris actuelle à installer sur le système wanclient-1.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

La liste suivante décrit quelques mots-clés et quelques valeurs issus de cet exemple.

install_type

Le profil installe une archive Solaris Flash sur le système clone. Tous les fichiers sont écrasés, comme dans une installation initiale.

archive_location

L'archive compressée Solaris Flash est extraite de wanserver-1.

partitioning

Les tranches des systèmes de fichiers sont déterminées par le mot-clé filesys, associé à la valeur explicit. La taille de la racine (/) est basée sur la taille de l'archive Solaris Flash. La taille de swap est réglée en fonction des besoins. Ce système de fichiers est installé sur c0t1d0s1. /export/home est basé sur l'espace de disque restant. /export/home est installé sur c0t1d0s7.

Création et validation du fichier rules

Les programmes JumpStart personnalisés utilisent le fichier rules pour sélectionner le profil d'installation approprié pour le système wanclient-1. Créez un fichier texte appelé rules. Ajoutez ensuite à ce fichier les mots-clés et les valeurs.

L'adresse IP du système wanclient-1 est 192.168.198.210, et le masque de réseau est 255.255.255.0. Utilisez le mot-clé network pour indiquer le profil que les programmes JumpStart personnalisés doivent utiliser pour installer wanclient-1.

network 192.168.198.0 - wanclient_1_prof - 

Ce fichier rules transmet des instructions aux programmes JumpStart personnalisés pour utiliser wanclient_1_prof afin d'installer le logiciel &release sur wanclient-1.

Appelez ce fichier de règle wanclient_rule.

Une fois le profil et le fichier rules créés, exécutez le script check pour vérifier la validité des fichiers.

wanserver-1# ./check -r wanclient_rule

Si le script check ne détecte aucune erreur, le script crée le fichier rules.ok.

Enregistrez le fichier rules.ok dans le répertoire /opt/apache/htdocs/flash.

Création du fichier de configuration système

Créez un fichier de configuration système répertoriant les emplacements du fichier sysidcfg et des fichiers JumpStart personnalisés sur le serveur d'installation. Sauvegardez ce fichier dans un répertoire accessible au serveur d'initialisation via une connexion WAN.

Dans l'exemple suivant, le programme wanboot-cgi cherche le fichier sysidcfg ainsi que les fichiers JumpStart personnalisés dans le répertoire document racine du serveur d'initialisation via connexion WAN. Le nom du domaine du serveur d'initialisation via connexion WAN est https://www.example.com. Ce serveur est configuré pour utiliser le protocole sécurisé HTTP, par conséquent les données et fichiers sont protégés lors de l'installation.

Dans cet exemple, le fichier de configuration système est appelé sys-conf.s10–sparc et il est sauvegardé au niveau de la hiérarchie /etc/netboot du serveur d'installation et initialisation via une connexion WAN. Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire racine du document.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Création du fichier wanboot.conf

L'installation et initialisation via connexion WAN utilise les informations de configuration incluses dans le fichier wanboot.conf pour installer la machine client. Créez le fichier wanboot.conf dans un éditeur de texte. Sauvegardez le fichier dans le sous-répertoire client adéquat de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Le fichier wanboot.conf suivant pour wanclient-1 comporte des informations de configuration pour une installation via une connexion WAN utilisant le HTTP sécurisé. Ce fichier invite également l'initialisation via connexion WAN à utiliser une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES afin de protéger les données.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Ce fichier wanboot.conf spécifie la configuration suivante :

boot_file=/wanboot/wanboot.s10_sparc

Le programme wanboot s'appelle wanboot.s10_sparc. Il se trouve dans le répertoire wanboot du répertoire document racine sur wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

Le programme wanboot-cgi de wanserver-1 se trouve à l'adresse suivante https://www.example.com/cgi-bin/wanboot-cgi . La partie https de l'URL indique que cette installation et initialisation via connexion WAN utilise le protocole sécurisé HTTP.

root_file=/miniroot/miniroot.s10_sparc

La miniracine d'installation et initialisation via une connexion WAN s'appelle miniroot.s10_sparc . Elle se situe dans le répertoire miniroot du répertoire racine du document sur wanserver-1.

signature_type=sha1

Le programme wanboot et le système de fichiers d'installation et initialisation via connexion WAN sont signés par l'utilisation d'une clé de hachage HMAC SHA1.

encryption_type=3des

Le programme wanboot et le système de fichiers d'installation et initialisation via connexion WAN sont chiffrés à l'aide d'une clé 3DES.

server_authentication=yes

Le serveur est authentifié lors de l'installation.

client_authentication=no

Le client n'est pas authentifié lors de l'installation.

---

Remarque –

Si vous avez effectué les tâches de la section (Facultatif) Utilisation d'une clé privée et d'un certificat pour l'authentification client, affectez à ce paramètre la valeur client_authentication=yes

---

resolve_hosts=

Aucun nom d'hôte supplémentaire n'est nécessaire pour l'installation via une connexion WAN. Tous les noms d'hôtes requis par le programme wanboot-cgi sont indiqués dans le fichier wanboot.conf et le certificat client.

boot_logger=

Des messages du journal d'initialisation et d'installation s'affichent sur la console du système. Si vous avez configuré le serveur de journalisation à l'étape (Facultatif) Configuration du serveur d'initialisation via une connexion WAN comme serveur de journalisation., et que vous vouliez que les messages provenant de la connexion WAN apparaissent également sur le serveur d'installation et d'initialisation, définissez le paramètre comme suit : boot_logger=https://www.example.com/cgi-bin/bootlog-cgi .

system_conf=sys-conf.s10–sparc

Le fichier de configuration système indiquant les emplacements des fichiers sysidcfg et JumpStart se trouve dans le fichier sys-conf.s10–sparc au niveau de la hiérarchie /etc/netboot sur wanserver-1.

Dans cet exemple, vous sauvegardez le fichier wanboot.conf dans le répertoire /etc/netboot/192.168.198.0/010003BA152A42 sur wanserver-1.

Vérification de l'alias de périphérique net dans l'OBP

Pour initialiser le client via connexion WAN à l'aide de la commande boot net, l'alias de périphérique net doit être défini au niveau du périphérique réseau principal du client. À l'invite ok du client, entrez la commande devalias afin de vérifier que l'alias net est défini au niveau du périphérique réseau principal /pci@1f,0/pci@1,1/network@c,1.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Dans cet exemple de résultat, le périphérique réseau principal /pci@1f,0/pci@1,1/network@c,1 est affecté à l'alias net. Vous n'avez pas besoin de réinitialiser l'alias.

Installation des clés du client

Dans la partie Création des clés pour le serveur et le client, vous avez créé une clé de hachage et une clé de chiffrement pour protéger vos données lors de l'installation. Afin de permettre au client de déchiffrer les données transmises à partir de wanserver-1 lors de l'installation, installez ces clés sur wanclient-1.

Affichez les valeurs des clés sur wanserver-1.

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Cet exemple utilise les informations suivantes :

net=192.168.198.0

Indique l'adresse IP du sous-réseau du client.

cid=010003BA152A42

Indique l'ID client.

b482aaab82cb8d5631e16d51478c90079cc1d463

Indique la valeur de la clé de hachage HMAC SHA1 du client.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Indique la valeur de la clé de chiffrement 3DES du client.

Si vous utilisez une clé de chiffrement AES dans votre installation, remplacez type=3des par type=aes pour afficher sa valeur.

À l'invite ok sur wanclient-1, installez les clés.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Ces commandes effectuent les tâches suivantes :

• installation de la clé de hachage HMAC SHA1 avec une valeur de b482aaab82cb8d5631e16d51478c90079cc1d463 sur le wanclient-1 ;

• installation de la clé de chiffrement 3DES avec une valeur de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sur le wanclient-1.

Installation du client

Vous pouvez effectuer une installation sans surveillance en définissant les variables de l'argument d'initialisation du réseau pour wanclient-1 à l'invite ok, puis en initialisant le client.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

Les variables suivantes sont définies :

• L'adresse IP client est définie sur 192.168.198.210.

• L'adresse IP du routeur du client est définie sur 192.168.198.1.

• Le masque de sous-réseau du client est défini sur 255.255.255.0.

• Le nom d'hôte du client est défini sur wanclient-1.

• Le programme wanboot-cgi se trouve sur http://192.168.198.2/cgi-bin/wanboot-cgi.

Le client s'installe sur le réseau étendu. Si le programme wanboot ne trouve pas toutes les informations nécessaires à l'installation, vous serez probablement invité à fournir les informations manquantes sur la ligne de commande.

Chapitre 15 Initialisation via une connexion WAN – Référence

Ce chapitre décrit brièvement les commandes et fichiers à utiliser dans le cadre d'une installation via connexion WAN.

• Commandes d'installation et initialisation via une connexion WAN

• Commandes OBP

• Paramétrages et syntaxe du fichier de configuration système

• Paramètres et syntaxe du fichier wanboot.conf

Commandes d'installation et initialisation via une connexion WAN

Les tableaux suivants présentent les commandes à utiliser pour effectuer ce type d'installation.

• Tableau 15–1

• Tableau 15–2

Commandes OBP

Le tableau ci-dessous répertorie les commandes OBP que vous saisissez à l'invite ok du client pour effectuer une installation et initialisation via une connexion WAN.

Paramétrages et syntaxe du fichier de configuration système

Le fichier de configuration système vous permet de diriger les programmes d'installation et initialisation via une connexion WAN vers les fichiers suivants :

• sysidcfg ;

• rules.ok ;

• profil JumpStart personnalisé.

Le fichier de configuration système est un fichier de texte en clair et doit être formaté selon le schéma suivant :

setting=value

Le fichier system.conf doit contenir les paramètres suivants :

SsysidCF=URL_fichier_sysidcfg

Ce paramètre pointe vers le répertoire du serveur qui contient le fichier sysidcfg. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.

SjumpsCF=URL_fichiers_jumpstart

Ce réglage pointe vers le répertoire JumpStart personnalisé contenant les fichiers rules.ok et profil. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.

Vous pouvez stocker le fichier system.conf dans n'importe quel répertoire accessible au serveur d'initialisation via connexion WAN.

Paramètres et syntaxe du fichier wanboot.conf

Le fichier wanboot.conf est un fichier de configuration de texte en clair que les programmes d'installation et initialisation via connexion WAN utilisent pour effectuer une installation via connexion WAN. Les fichiers et programmes suivants utilisent les informations contenues dans ce fichier pour installer la machine client :

• programme wanboot-cgi ;

• système de fichiers d'initialisation via connexion WAN ;

• miniracine de l'initialisation via connexion WAN ;

Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour plus d'informations sur la définition de l'étendue de l'installation et initialisation via une connexion WAN au niveau de la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Pour spécifier des informations dans le fichier wanboot.conf, vous devez dresser une liste des paramètres avec leur valeur associée au format suivant :

parameter=value

Les entrées de paramètres ne peuvent pas s'étendre sur plusieurs lignes. Vous pouvez inclure des commentaires dans le fichier en les faisant précéder du caractère #.

Pour de plus amples informations sur le fichier wanboot.conf, reportez-vous à la page de manuel wanboot.conf(4).

Vous devez définir les paramètres ci-après dans le fichier wanboot.conf.

boot_file=chemin_wanboot

Ce paramètre spécifie le chemin d'accès au programme wanboot. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.

boot_file=/wanboot/wanboot.s10_sparc

root_server=URL_wanbootCGI /wanboot-cgi

Ce paramètre spécifie l'URL du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.

• Utilisez un URL HTTP si vous réalisez une installation et initialisation via connexion WAN sans authentification client ou serveur.

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• Utilisez un URL HTTPS si vous procédez à une installation et initialisation via une connexion WAN par le biais d'une authentification serveur, ou d'une authentification serveur et client.

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=chemin_miniracine

Ce paramètre spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN sur le serveur correspondant. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | vide

Ce paramètre spécifie le type de clé de hachage à utiliser pour vérifier l'intégrité des fichiers et des données transmis.

• Pour une installation et initialisation via connexion WAN utilisant une clé de hachage pour protéger le programme wanboot, définissez cette valeur sur sha1.

  signature_type=sha1

• Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de hachage et laissez cette valeur vide.

  signature_type=

encryption_type=3des | aes | vide

Ce paramètre spécifie le type de chiffrement à utiliser pour chiffrer le programme wanboot et le système de fichiers d'initialisation via connexion WAN.

• Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez cette valeur sur 3des ou aes pour qu'elle corresponde au format de clé que vous utilisez. Vous devez aussi définir la valeur du mot-clé signature_type sur sha1.

  encryption_type=3des

  ou

  encryption_type=aes

• Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de chiffrement et laissez cette valeur vide.

  encryption_type=

server_authentication=yes | no

Ce paramètre indique si le serveur doit être authentifié au cours de l'installation et initialisation via connexion WAN.

• Pour une installation et initialisation via une connexion WAN avec authentification serveur ou authentification serveur et client, définissez cette valeur sur yes. Vous devez définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.

  server_authentication=yes

• Pour une installation et initialisation via une connexion WAN non sécurisée sans authentification serveur ou authentification serveur et client, définissez cette valeur à no. Vous pouvez aussi laisser la valeur vide.

  server_authentication=no

client_authentication=yes | no

Ce paramètre indique si le client doit être authentifié au cours de l'installation et initialisation via connexion WAN.

• Pour une installation et initialisation via connexion WAN avec authentification serveur et client, définissez cette valeur sur yes. Vous devez également définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.

  client_authentication=yes

• Pour une installation et initialisation via une connexion WAN sans authentification client, définissez cette valeur sur no. Vous pouvez aussi laisser la valeur vide.

  client_authentication=no

resolve_hosts=nom_hôte | vide

Ce paramètre spécifie les hôtes supplémentaires devant être résolus pour le programme wanboot-cgi au cours de l'installation.

Définissez cette valeur sur des noms d'hôtes de systèmes n'ayant pas déjà été spécifiés dans le fichier wanboot.conf ou dans un certificat client.

• Si tous les hôtes requis figurent dans le fichier wanboot.conf ou le certificat client, laissez cette valeur vide.

  resolve_hosts=

• Si des hôtes spécifiques ne figurent pas dans le fichier wanboot.conf ou le certificat client, définissez la valeur sur ces noms d'hôte.

  resolve_hosts=seahag,matters

boot_logger=chemin_bootlog-cgi | vide

Ce paramètre spécifie l'URL du script bootlog-cgi sur le serveur de journalisation.

• Pour enregistrer les messages d'initialisation ou d'installation sur un serveur de journalisation dédié, définissez la valeur de l'URL du script bootlog-cgi sur le serveur de journalisation.

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• Pour afficher les messages d'installation et d'initialisation sur la console du client, laissez cette valeur vide.

  boot_logger=

system_conf=system.conf | conf_sys_personnalisée

Ce paramètre spécifie le chemin d'accès au fichier de configuration système incluant l'emplacement de sysidcfg et des fichiers JumpStart personnalisés.

La valeur du chemin d'accès aux fichiers sysidcfg et JumpStart personnalisés doit être définie sur le serveur Web.

system_conf=sys.conf