第 12 章 WAN ブート によるインストール (作業)
この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。必要な作業は次のとおりです。
広域ネットワーク経由のインストール (作業マップ)
次の表は、WAN ブートインストールの準備に必要な作業の一覧です。
-
セキュリティー保護された WAN ブートインストールの準備に必要な作業の一覧については、表 12–1 を参照してください。
HTTPS によるセキュリティー保護された WAN ブートインストールについては、「セキュリティー保護された WAN ブートインストール構成」を参照してください。
-
セキュリティー保護されていない WAN ブートインストールの準備に必要な作業の一覧については、表 12–2 を参照してください。
セキュリティー保護されていない WAN ブートインストールについては、「セキュリティー保護されていない WAN ブートインストール構成」を参照してください。
DHCP サーバーやログサーバーを使用するには、表の末尾にある追加作業を実行する必要があります。
表 12–1 作業マップ: セキュリティー保護された WAN ブートインストールを実行するための準備表 12–2 作業マップ: セキュリティー保護されていない WAN ブートインストールを実行するための準備
WAN ブートサーバーの構成
WAN ブートサーバーは、WAN ブートインストール時にブートデータと構成データを提供する Web サーバーです。WAN ブートサーバーのシステム要件の一覧については、表 11–1 を参照してください。
ここでは、WAN ブートインストールを行うために WAN ブートサーバーを構成する方法について説明します。必要な作業は次のとおりです。
ドキュメントルートディレクトリの作成
構成ファイルとインストールファイルを提供するには、WAN ブートサーバーの Web サーバーソフトウェアがこれらのファイルにアクセスできるようにする必要があります。たとえば、WAN ブートサーバーのドキュメントルートディレクトリにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
構成ファイルとインストールファイルの提供にドキュメントルートディレクトリを使用するには、このディレクトリを作成する必要があります。ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。ドキュメントルートディレクトリの設計方法については、「ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存」を参照してください。
このディレクトリの設定例については、「ドキュメントルートディレクトリの作成」を参照してください。
ドキュメントルートディレクトリを作成したあと、WAN ブートミニルートを作成します。手順については、「WAN ブートミニルートの作成」を参照してください。
WAN ブートミニルートの作成
WAN ブートでは、WAN ブートインストール用に変更された特別な Solaris ミニルートが使用されます。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。WAN ブートインストールを実行するには、Solaris DVD または Solaris SOFTWARE - 1 CD から、このミニルートを WAN ブートサーバーにコピーする必要があります。-w オプションを指定して setup_install_server コマンドを実行し、Solaris ソフトウェアのメディアからシステムのハードディスクに WAN ブートミニルートをコピーします。
SPARC: WAN ブートミニルートを作成する方法
次の手順では、SPARC メディアを使って SPARC WAN ブートミニルートを作成します。x86 ベースのサーバーから SPARC WAN ブートミニルートを提供するには、まず SPARC マシンにミニルートを作成する必要があります。次に、作成したミニルートを、x86 ベースのサーバーのドキュメントルートディレクトリにコピーします。
始める前に
この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。
-
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
注 –役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
システムの必要条件は次のとおりです。
-
CD-ROM ドライブまたは DVD-ROM ドライブを備えていること
-
サイトのネットワークおよびネームサービスに組み込まれていること
ネームサービスを使用する場合は、システムがすでに NIS、NIS+、DNS、LDAP のいずれかのネームサービスに登録されていなければなりません。ネームサービスを使用しない場合は、サイトのポリシーに従ってシステムの情報を供給する必要があります。
-
-
Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
-
WAN ブートミニルートと Solaris インストールイメージを置くためのディレクトリを作成します。
# mkdir -p wan-dir-path install-dir-path
- -p
-
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
- wan-dir-path
-
WAN ブートミニルートの作成先となる、インストールサーバー上のディレクトリを指定します。このディレクトリには、ミニルートを格納できる容量が必要です。ミニルートの標準サイズは 250M バイトです。
- install-dir-path
-
Solaris ソフトウェアイメージのコピー先となる、インストールサーバー上のディレクトリを指定します。この手順の後半で、このディレクトリは削除できます。
-
マウントされたディスクの Tools ディレクトリに移動します。
# cd /cdrom/cdrom0/Solaris_10/Tools
上の例では、cdrom0 は、Solaris OS のメディアが入っているドライブへのパスです。
-
WAN ブートミニルートと Solaris ソフトウェアイメージを、WAN ブートサーバーのハードディスクにコピーします。
# ./setup_install_server -w wan-dir-path install-dir-path
- wan-dir-path
-
WAN ブートミニルートをコピーするディレクトリを指定します。
- install-dir-path
-
Solaris ソフトウェアイメージをコピーするディレクトリを指定します。
注 –setup_install_server コマンドは、Solaris SOFTWARE のディスクイメージをコピーする十分なディスク容量があるかどうかを調べます。利用できるディスク容量を調べるには、df -kl コマンドを使用します。
setup_install_server -w コマンドは、WAN ブートミニルートと、Solaris ソフトウェアのネットワークインストールイメージを作成します。
-
(省略可能) ネットワークインストールイメージを削除します。
Solaris フラッシュアーカイブを使って WAN インストールを実行する場合、Solaris ソフトウェアイメージは不要です。ほかのネットワークインストールに使用する予定がない場合は、ネットワークインストールイメージを削除して、ディスクの空き領域を増やすことができます。ネットワークインストールイメージを削除するには、次のコマンドを入力します。
# rm -rf install-dir-path
-
次のどちらかの方法で、WAN ブートサーバーが WAN ブートミニルートにアクセスできるようにします。
-
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートへのシンボリックリンクを作成します。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .
- document-root-directory/miniroot
-
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、WAN ブートミニルートにリンクするものを指定します。
- /wan-dir-path/miniroot
-
WAN ブートミニルートへのパスを指定します。
-
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name
- wan-dir-path/miniroot
-
WAN ブートミニルートへのパスを指定します。
- /document-root-directory/miniroot/
-
WAN ブートサーバーのドキュメントルートディレクトリにある WAN ブートミニディレクトリへのパスを指定します。
- miniroot-name
-
WAN ブートミニルートの名前を指定します。miniroot.s10_sparc のように、わかりやすい名前をファイルに付けます。
-
例 12–1 WAN ブートミニルートの作成
setup_install_server(1M) に -w オプションを指定して実行することで、WAN ブートミニルートと Solaris ソフトウェアイメージを、wanserver-1 の /export/install/Solaris_10 ディレクトリにコピーします。
wanserver-1 に接続されているメディアドライブに Solaris SOFTWARE のメディアを挿入します。次のコマンドを入力します。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
WAN ブートサーバーのドキュメントルートディレクトリ (/opt/apache/htdocs/) に、WAN ブートミニルートを移動します。この例では、WAN ブートミニルートの名前を miniroot.s10_sparc に設定しています。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
WAN ブートインストールの続行
WAN ブートミニルートを作成したあと、クライアントの OpenBoot PROM (OBP) が WAN ブートに対応しているかどうかを確認します。手順については、「クライアントの WAN ブート対応の確認」を参照してください。
参照
setup_install_server コマンドの詳細は、install_scripts(1M) のマニュアルページを参照してください。
クライアントの WAN ブート対応の確認
WAN ブートインストールを自動的に実行するには、クライアントシステムの OpenBoot PROM (OBP) が WAN ブートに対応している必要があります。クライアントの OBP が WAN ブートに対応していない場合は、ローカル CD を使って必要なプログラムを提供することで、WAN ブートインストールを実行できます。
クライアントが WAN ブートに対応しているかどうかを確認するには、クライアントの OBP 構成変数を調べます。クライアントが WAN ブートに対応しているかどうかを調べるには、次の手順に従ってください。
クライアント OBP での WAN ブート対応を確認する方法
この手順は、クライアントの OBP が WAN ブートに対応しているかどうかを調べる方法を示しています。
-
スーパーユーザーになるか、同等の役割を引き受けます。
注 –役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
-
WAN ブート対応を表す OBP 構成変数を調べます。
# eeprom | grep network-boot-arguments
-
変数 network-boot-arguments が表示されるか、上記のコマンドが network-boot-arguments: data not available という出力を返した場合、OBP は WAN ブートインストールに対応しています。WAN ブートインストールを実行する前に OBP を更新する必要はありません。
-
上記のコマンドから何の出力も得られない場合、OBP は WAN ブートインストールに対応していません。次のどちらかの作業を実行する必要があります。
-
クライアントの OBP を更新します。クライアントの OBP が WAN ブートインストールに対応可能な場合は、OBP を更新する方法についてシステムのマニュアルを参照してください。
注 –一部のクライアント OBP は WAN ブートに対応していません。そのようなクライアントの場合は、次のオプションを使用してください。
-
クライアントのインストールを行うための準備作業が完了したら、Solaris SOFTWARE CD1 または DVD から WAN ブートインストールを実行します。このオプションは、現在の OBP が WAN ブートに対応していないすべての場合で使用できます。
CD1 からクライアントをブートする方法については、「ローカルの CD メディアを使って WAN ブートインストールを実行する方法」を参照してください。WAN ブートインストールの準備を続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
-
-
例 12–2 クライアント上で OBP が WAN ブートに対応しているかどうかを確認する
次のコマンドは、クライアントの OBP が WAN ブートに対応しているかどうかを確認する方法を示しています。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
この例では、出力に network-boot-arguments: data not available が表示されているので、クライアント OBP は WAN ブートに対応しています。
WAN ブートインストールの続行
クライアントの OBP が WAN ブートに対応していることを確認できたら、wanboot プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの wanboot プログラムのインストール」を参照してください。
クライアントの OBP が WAN ブートに対応していない場合は、wanboot プログラムを WAN ブートサーバーにコピーする必要はありません。ローカル CD を使ってクライアントに wanboot プログラムを提供する必要があります。インストールを続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
参照
setup_install_server コマンドの詳細については、第 4 章ネットワークからのインストール (概要)を参照してください。
WAN ブートサーバーへの wanboot プログラムのインストール
WAN ブートでは、特別な二次レベルのブートプログラム wanboot が、クライアントのインストールに使用されます。wanboot プログラムは、WAN ブートインストールの実行に必要な、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込みます。
WAN ブートインストールを実行するには、インストール時に wanboot プログラムをクライアントに提供する必要があります。次の方法で、このプログラムをクライアントに提供できます。
-
クライアントの PROM が WAN ブートに対応している場合は、WAN ブートサーバーからクライアントにプログラムを転送できます。WAN ブートサーバーに wanboot プログラムをインストールする必要があります。
クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。
-
クライアントの PROM が WAN ブートに対応していない場合は、ローカル CD を使ってクライアントにプログラムを提供する必要があります。クライアントの PROM が WAN ブートに対応していない場合は、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」に進み、インストールの準備を続行します。
SPARC: WAN ブートサーバーに wanboot プログラムをインストールする方法
この手順は、Solaris メディアから WAN ブートサーバーに wanboot プログラムをコピーする方法を示しています。
この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。
始める前に
クライアントシステムが WAN ブートに対応していることを確認します。詳細は、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。
-
インストールサーバーでスーパーユーザーになるか、同等の役割になります。
注 –役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
-
Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
-
Solaris SOFTWARE - 1 CD または Solaris DVD の sun4u プラットフォームディレクトリに移動します。
# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
-
インストールサーバーに wanboot プログラムをコピーします。
# cp wanboot /document-root-directory/wanboot/wanboot-name
- document-root-directory
-
WAN ブートサーバーのドキュメントルートディレクトリを指定します。
- wanboot-name
-
wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。
-
次のどちらかの方法で、WAN ブートサーバーが wanboot プログラムにアクセスできるようにします。
-
WAN ブートサーバーのドキュメントルートディレクトリに、wanboot プログラムへのシンボリックリンクを作成します。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .
- document-root-directory/wanboot
-
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、wanboot プログラムにリンクするものを指定します。
- /wan-dir-path/wanboot
-
wanboot プログラムへのパスを指定します。
-
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name
- wan-dir-path/wanboot
-
wanboot プログラムへのパスを指定します。
- /document-root-directory/wanboot/
-
WAN ブートサーバのドキュメントルートディレクトリにある wanboot プログラムディレクトリへのパスを指定します。
- wanboot-name
-
wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。
-
例 12–3 WAN ブートサーバーへの wanboot プログラムのインストール
wanboot プログラムを WAN ブートサーバーにインストールするには、Solaris SOFTWARE のメディアから WAN ブートサーバーのドキュメントルートディレクトリに、このプログラムをコピーします。
wanserver-1 に接続されているメディアドライブに Solaris DVD または Solaris SOFTWARE - 1 CD を挿入し、次のコマンドを入力します。
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
この例では、wanboot プログラムの名前を wanboot.s10_sparc に設定しています。
WAN ブートインストールの続行
WAN ブートサーバーに wanboot プログラムをインストールしたあと、WAN ブートサーバーに /etc/netboot ディレクトリを作成する必要があります。手順については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
参照
wanboot プログラムの概要については、「WAN ブートとは」を参照してください。
WAN ブートサーバーに /etc/netboot ディレクトリを作成する
インストール時に WAN ブートは、Web サーバーの /etc/netboot ディレクトリの内容を参照して、インストールの実行方法に関する指示を取得します。このディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。インストール時、この情報は wanboot-cgi プログラムによって WAN ブートファイルシステムに変換されます。その後、wanboot-cgi プログラムは WAN ブートファイルシステムをクライアントに転送します。
/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。
-
大域的な構成 – ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。
-
ネットワーク固有の構成 – 特定のサブネット上のクライアントだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip
この例で、net-ip はクライアントのサブネットの IP アドレスです。
-
クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip/client-ID
この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。
これらの構成の詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
次の手順は、/etc/netboot ディレクトリを作成する方法を示しています。
WAN ブートサーバーに /etc/netboot ディレクトリを作成する方法
/etc/netboot ディレクトリを作成するには、次の手順に従ってください。
-
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
注 –役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
-
/etc/netboot ディレクトリを作成します。
# mkdir /etc/netboot
-
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
# chmod 700 /etc/netboot
-
/etc/netboot ディレクトリの所有者を、Web サーバーの所有者に変更します。
# chown web-server-user:web-server-group /etc/netboot/
- web-server-user
-
Web サーバープロセスの所有者であるユーザーを指定します。
- web-server-group
-
Web サーバープロセスの所有者であるグループを指定します。
-
スーパーユーザーを終了します。
# exit
-
Web サーバー所有者の役割になります。
-
/etc/netboot ディレクトリに、クライアントのサブディレクトリを作成します。
# mkdir -p /etc/netboot/net-ip/client-ID
- -p
-
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
- (省略可能) net-ip
-
クライアントのサブネットのネットワーク IP アドレスを指定します。
- (省略可能) client-ID
-
クライアント ID を指定します。クライアント ID は、ユーザーが定義した値か、DHCP クライアント ID です。client-ID ディレクトリは、net-ip ディレクトリのサブディレクトリである必要があります。
-
/etc/netboot ディレクトリ内の各サブディレクトリについて、アクセス権を 700 に変更します。
# chmod 700 /etc/netboot/dir-name
例 12–4 WAN ブートサーバーに /etc/netboot ディレクトリを作成する
次の例は、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対応する /etc/netboot ディレクトリの作成方法を示しています。この例では、nobody というユーザーと admin というグループが、Web サーバープロセスを所有しています。
この例のコマンドは、次の処理を行います。
-
/etc/netboot ディレクトリを作成します。
-
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
-
/etc/netboot ディレクトリの所有権を Web サーバープロセスの所有者に渡します。
-
Web サーバーユーザーと同じ役割になります。
-
/etc/netboot ディレクトリに、サブネット名と同じ名前のサブディレクトリ 192.168.198.0 を作成します。
-
このサブネットディレクトリに、クライアント ID と同じ名前のサブディレクトリを作成します。
-
/etc/netboot のサブディレクトリのアクセス権を 700 に変更します。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
WAN ブートインストールの続行
/etc/netboot ディレクトリを作成したあと、WAN ブート CGI プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの WAN ブート CGI プログラムのコピー」を参照してください。
参照
/etc/netboot ディレクトリの詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
WAN ブートサーバーへの WAN ブート CGI プログラムのコピー
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントに次のファイルを転送するデータストリームを作成します。
-
wanboot プログラム
-
WAN ブートファイルシステム
-
WAN ブートミニルート
Solaris 最新リリースソフトウェアをインストールすると、wanboot-cgi プログラムもシステムにインストールされます。WAN ブートサーバーがこのプログラムを使用できるようにするには、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムをコピーします。
WAN ブートサーバーに wanboot-cgi プログラムをコピーする方法
-
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
注 –役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
-
WAN ブートサーバーに wanboot-cgi プログラムをコピーします。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi
- /WAN-server-root
-
WAN ブートサーバー上の Web サーバーソフトウェアのルートディレクトリを指定します。
-
WAN ブートサーバーで、CGI プログラムのアクセス権を 755 に変更します。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi
WAN ブートインストールの続行
WAN ブート CGI プログラムを WAN ブートサーバーにコピーしたあと、必要に応じてログサーバーを設定できます。手順については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
独立したログサーバーを設定しない場合は、WAN ブートインストールのセキュリティー機能の設定方法について、「(省略可能) HTTPS によるデータの保護」を参照してください。
参照
wanboot-cgi プログラムの概要については、「WAN ブートとは」を参照してください。
(省略可能) WAN ブートログサーバーを構成する方法
デフォルトでは、WAN ブートログメッセージはすべて、クライアントシステムに表示されます。このデフォルトの動作により、インストールの問題をすばやくデバッグできます。
クライアント以外のシステムでブートログメッセージとインストールログメッセージを記録するには、ログサーバーを設定する必要があります。インストール時に HTTPS を介してログサーバーを使用するには、WAN ブートサーバーをログサーバーとして構成する必要があります。
ログサーバーを構成するには、次の手順を実行します。
-
ログサーバーの CGI スクリプトディレクトリに bootlog-cgi スクリプトをコピーします。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin
- log-server-root/cgi-bin
-
ログサーバーの Web サーバーディレクトリにある cgi-bin ディレクトリを指定します。
-
bootlog-cgi スクリプトのアクセス権を 755 に変更します。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi
-
wanboot.conf ファイル内の boot_logger パラメータの値を設定します。
wanboot.conf ファイルに、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。
wanboot.conf ファイルのパラメータの設定方法については、「wanboot.conf ファイルを作成する方法」を参照してください。
インストール時に、ログサーバーの /tmp ディレクトリにブートログメッセージとインストールログメッセージが記録されます。ログファイルの名前は bootlog.hostname となります。hostname は、クライアントのホスト名です。
例 12–5 HTTPS を介して WAN ブートインストールを行う場合のログサーバーの構成
次の例では、WAN ブートサーバーをログサーバーとして構成します。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
WAN ブートインストールの続行
ログサーバーを設定したあと、必要に応じて、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用するように設定できます。WAN ブートインストールのセキュリティー機能の設定方法については、「(省略可能) HTTPS によるデータの保護」を参照してください。
(省略可能) HTTPS によるデータの保護
WAN ブートサーバーからクライアントへの転送データを保護するには、HTTPS (Secure Sockets Layer を介した HTTP) を使用します。「セキュリティー保護された WAN ブートインストール構成」に説明されている、より高いセキュリティーで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。
セキュリティー保護された WAN ブートを実行しない場合は、この節の手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次の作業を実行します。
-
Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。
SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティー機能を有効にする方法については、このマニュアルでは説明していません。これらの機能については、次のマニュアルを参照してください。
-
Sun ONE Web Server および iPlanet Web Server で SSL を有効にする方法については、http://docs.sun.com にある Sun ONE および iPlanet のマニュアルコレクションを参照してください。
-
Apache Web サーバーで SSL を有効にする方法については、http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。
-
上記以外の Web サーバーソフトウェアを使用している場合は、そのソフトウェアのマニュアルを参照してください。
-
-
WAN ブートサーバーにデジタル証明書をインストールします。
WAN ブートでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
-
信頼できる証明書をクライアントに提供します。
信頼できる証明書の作成方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
-
ハッシュキーと暗号化鍵を作成します。
キーの作成方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
-
(省略可能) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。
クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのマニュアルを参照してください。
ここでは、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用する方法について説明します。
(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法
WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、「デジタル証明書の要件」を参照してください。
WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。
-
PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。
-
/etc/netboot ディレクトリにあるクライアントの truststore ファイルに信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。
-
(省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。
wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。
セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
信頼できる証明書とクライアントの非公開鍵を作成するには、次の手順に従ってください。
始める前に
PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。
-
/etc/netboot ディレクトリの概要については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
-
/etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
-
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
-
信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
- p12split
-
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
- -i p12cert
-
分割する PKCS#12 ファイルの名前を指定します。
- -t /etc/netboot/net-ip /client-ID/truststore
-
クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
-
(省略可能) クライアント認証を要求するかどうかを決定します。
-
要求しない場合は、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」に進みます。
-
要求する場合は、引き続き次の手順を実行します。
-
クライアントの certstore にクライアントの証明書を挿入します。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
- p12split
-
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
- -i p12cert
-
分割する PKCS#12 ファイルの名前を指定します。
- -c /etc/netboot/net-ip/ client-ID/certstore
-
クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
- -k keyfile
-
PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
-
クライアントの keystore に非公開鍵を挿入します。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
-
-
例 12–6 サーバー認証用の信頼できる証明書を作成する
次の例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。このコマンドは次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
WAN ブートインストールの続行
デジタル証明書を作成したあと、ハッシュキーと暗号化鍵を作成します。手順については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
参照
信頼できる証明書の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。
(省略可能) ハッシュキーと暗号化鍵を作成する方法
HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半私設のネットワーク上でインストールを行うときなど、インストールデータの暗号化が不要な場合もあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。
wanbootutil keygen コマンドを使用すると、これらのキーを生成し、/etc/netboot の適切なディレクトリに保存できます。
セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
ハッシュキーと暗号化鍵を作成するには、次の手順に従ってください。
-
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
-
HMAC SHA1 マスターキーを作成します。
# wanbootutil keygen -m
- keygen -m
-
WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。
-
このマスターキーから、クライアントの HMAC SHA1 ハッシュキーを作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1- -c
-
クライアントのハッシュキーをマスターキーから作成します。
- -o
-
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
- (省略可能) net=net-ip
-
クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
- (省略可能) cid=client-ID
-
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
- type=sha1
-
クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティーに指示します。
-
クライアントの暗号化鍵を作成する必要があるかどうかを決定します。
HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。
-
サーバー認証を伴う、より高いセキュリティーで保護された WAN インストールを HTTPS で実行する場合は、次の手順に進みます。
-
wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。手順 6 に進みます。
-
-
クライアントの暗号化鍵を作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type- -c
-
クライアントの暗号化鍵を作成します。
- -o
-
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
- (省略可能) net=net-ip
-
クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
- (省略可能) cid=client-ID
-
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
- type=key-type
-
クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティーに指示します。key-type には、3des または aes という値を指定できます。
-
クライアントシステムにキーをインストールします。
クライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
例 12–7 HTTPS を介して WAN ブートインストールを実行するために必要なキーを作成する
次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。またこの例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
WAN ブートインストールの続行
ハッシュキーと暗号化鍵を作成したあと、インストールファイルを作成する必要があります。手順については、「カスタム JumpStart インストールファイルの作成」を参照してください。
参照
ハッシュキーと暗号化鍵の概要については、「WAN ブートインストール時のデータの保護」を参照してください。
ハッシュキーと暗号化鍵の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。
カスタム JumpStart インストールファイルの作成
WAN ブートは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。カスタム JumpStart は、あらかじめ作成したプロファイルを使って、複数のシステムのインストールを自動的にかつ同時に行うことができる、コマンド行インタフェースです。プロファイルには、どのようにソフトウェアをインストールするかを定義します。さらに、インストール前とインストール後に実行する作業を、シェルスクリプトを使用して指定することができます。システムのインストールまたはアップグレードにどのプロファイルとスクリプトを使用するかを選択できます。カスタム JumpStart では、選択したプロファイルとスクリプトに基づいて、システムのインストールまたはアップグレードが行われます。また、sysidcfg ファイルを使用して構成情報を指定することにより、カスタム JumpStart インストールを完全に自動化することも可能です。
WAN ブートインストール用のカスタム JumpStart ファイルを準備するには、次の作業を実行します。
カスタム JumpStart インストールの詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の第 2 章「カスタム JumpStart (概要)」を参照してください。
Solaris フラッシュアーカイブを作成する方法
Solaris フラッシュインストール機能を利用すると、マスターシステムと呼ばれるシステム上の Solaris OS を、単一の参照用インストールイメージとして使用できます。また、マスターシステムのイメージを複製して、Solaris フラッシュアーカイブを作成できます。ネットワーク内のほかのシステムにこの Solaris フラッシュアーカイブをインストールすることで、クローンシステムを作成できます。
ここでは、Solaris フラッシュアーカイブの作成方法について説明します。
始める前に
-
Solaris フラッシュアーカイブを作成する前に、マスターシステムのインストールを行う必要があります。
-
マスターシステムのインストール方法については、『Oracle Solaris 10 9/10 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「マスターシステムへのインストール」を参照してください。
-
Solaris フラッシュアーカイブの詳細は、『Oracle Solaris 10 9/10 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 1 章「Solaris フラッシュ (概要)」を参照してください。
-
-
ファイルサイズに関連する問題:
Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
-
Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
-
flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。
詳細については、『Oracle Solaris 10 9/10 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
-
-
マスターシステムをブートします。
できるだけ静的な状態でマスターシステムを稼働させます。可能であれば、システムをシングルユーザーモードで実行してください。これが不可能な場合、アーカイブするアプリケーションおよび大量のオペレーティングシステムリソースを必要とするアプリケーションを停止します。
-
flarcreate コマンドを使用して、アーカイブを作成します。
# flarcreate -n name [optional-parameters] document-root/flash/filename
- name
-
アーカイブに指定する名前です。指定する name は、content_name キーワードの値になります。
- optional-parameters
-
flarcreate コマンドには、Solaris フラッシュアーカイブをカスタマイズするためのオプションをいくつか指定できます。これらのオプションの詳細な説明は、『Oracle Solaris 10 9/10 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 6 章「Solaris フラッシュ (リファレンス)」を参照してください。
- document-root/flash
-
インストールサーバーのドキュメントルートディレクトリにある Solaris フラッシュサブディレクトリへのパスです。
- filename
-
アーカイブファイルの名前です。
ディスク容量を節約するために、flarcreate コマンドに -c オプションを指定してアーカイブを圧縮することもできます。ただし、アーカイブを圧縮すると、WAN ブートインストールのパフォーマンスに影響する場合があります。圧縮されたアーカイブの作成に関する詳細は、flarcreate(1M) のマニュアルページを参照してください。
-
アーカイブの作成が正常に完了すると、flarcreate コマンドは終了コード 0 を返します。
-
アーカイブの作成が失敗すると、flarcreate コマンドは 0 以外の終了コードを返します。
例 12–8 WAN ブートインストール用 Solaris フラッシュアーカイブの作成
この例では、wanserver というホスト名を持つ WAN ブートサーバーシステムのクローンを作成して、Solaris フラッシュアーカイブを作成します。このアーカイブは sol_10_sparc という名前で、マスターシステムから正確にコピーされます。アーカイブはマスターシステムの完全な複製です。アーカイブは sol_10_sparc.flar に格納されます。WAN ブートサーバーのドキュメントルートディレクトリの flash/archives サブディレクトリにこのアーカイブを保存します。
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
WAN ブートインストールの続行
Solaris フラッシュアーカイブを作成したあと、sysidcfg ファイルでクライアント情報を事前設定します。手順については、「sysidcfg ファイルを作成する方法」を参照してください。
参照
Solaris フラッシュアーカイブの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 3 章「Solaris フラッシュアーカイブの作成 (作業)」を参照してください。
flarcreate コマンドの詳細は、flarcreate(1M) のマニュアルページを参照してください。
sysidcfg ファイルを作成する方法
sysidcfg ファイルに一連のキーワードを指定すると、システムを事前設定できます。
sysidcfg ファイルを作成するには、次の手順に従ってください。
始める前に
Solaris フラッシュアーカイブを作成します。詳細は、「Solaris フラッシュアーカイブを作成する方法」を参照してください。
-
インストールサーバーで、テキストエディタを使って sysidcfg というファイルを作成します。
-
必要な sysidcfg のキーワードを入力します。
sysidcfg のキーワードの詳細については、「sysidcfg ファイルキーワード」を参照してください。
-
WAN ブートサーバーがアクセスできる場所に、この sysidcfg ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
例 12–9 WAN ブートインストール用の sysidcfg ファイル
SPARC ベースのシステムで使用される sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。
network_interface=primary {hostname=wanclient
default_route=192.168.198.1
ip_address=192.168.198.210
netmask=255.255.255.0
protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
domain_name=mind.over.example.com
}
security_policy=none
WAN ブートインストールの続行
sysidcfg ファイルを作成したあと、クライアントのカスタム JumpStart プロファイルを作成します。手順については、「プロファイルを作成する方法」を参照してください。
参照
sysidcfg のキーワードと値の詳細については、「sysidcfg ファイルによる事前設定」を参照してください。
プロファイルを作成する方法
プロファイルは、システムへの Solaris ソフトウェアのインストール方法をカスタム JumpStart プログラムに指示するテキストファイルです。プロファイルには、インストール要素 (インストールするソフトウェアグループなど) を指定します。
プロファイルの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「プロファイルの作成」を参照してください。
プロファイルを作成するには、次の手順に従ってください。
始める前に
クライアント用の sysidcfg ファイルを作成します。詳細は、「sysidcfg ファイルを作成する方法」を参照してください。
-
インストールサーバーで、テキストファイルを作成します。ファイルにわかりやすい名前を付けます。
プロファイルには、システムに Solaris ソフトウェアをインストールする際の使用目的を表すような名前を付けてください。たとえば、basic_install、eng_profile、user_profile などのプロファイル名を付けます。
-
プロファイルにプロファイルキーワードと値を追加します。
プロファイルキーワードと値の一覧については、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「プロファイルキーワードと値」を参照してください。
プロファイルキーワードとプロファイル値には、大文字と小文字の区別があります。
-
WAN ブートサーバーがアクセスできる場所に、このプロファイルを保存します。
このプロファイルを次のどちらかの場所に保存します。
-
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
-
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
-
-
プロファイルの所有者が root で、そのアクセス権が 644 に設定されていることを確認します。
-
(省略可能) プロファイルをテストします。
プロファイルのテストに関する情報については、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「プロファイルのテスト」を参照してください。
例 12–10 HTTPS サーバーから Solaris フラッシュアーカイブを取得する
次の例のプロファイルは、カスタム JumpStart プログラムがセキュリティ保護された HTTP サーバーから Solaris フラッシュアーカイブを取得するように指定しています。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
この例で使用されているキーワードと値の一部について、次のリストで説明します。
- install_type
-
このプロファイルにより、Solaris フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。
- archive_location
-
圧縮された Solaris フラッシュアーカイブが HTTPS サーバーから取得されます。
- partitioning
-
値が explicit であるため、ファイルシステムスライスは filesys キーワードによって指定します。ルート (/) のサイズは Solaris フラッシュアーカイブのサイズに基づいて割り当てています。swap は、必要なサイズを割り当てた上で、c0t1d0s1 上にインストールされるように設定しています。/export/home のサイズは残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。
WAN ブートインストールの続行
プロファイルを作成したあと、rules ファイルの作成と妥当性検査を行う必要があります。手順については、「rules ファイルを作成する方法」を参照してください。
参照
プロファイルの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「プロファイルの作成」を参照してください。
プロファイルキーワードと値の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「プロファイルキーワードと値」を参照してください。
rules ファイルを作成する方法
rules ファイルは、Solaris OS のインストール先となる各システムグループのルールを記述したテキストファイルです。各ルールは 1 つ以上のシステム属性にもとづいてシステムグループを識別し、各グループをプロファイルにリンクします。プロファイルは、グループ内の各システムに Solaris ソフトウェアがどのようにインストールされるかを定義するテキストファイルです。たとえば、次のルールは JumpStart プログラムが basic_prof プロファイル内の情報を使用し、sun4u プラットフォームグループを持つすべてのシステムに対してインストールを実行することを示します。
karch sun4u - basic_prof - |
rules ファイルを使用して、カスタム JumpStart インストールに必要な rules.ok ファイルを作成します。
rules ファイルの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「rules ファイルの作成」を参照してください。
rules ファイルを作成するには、次の手順に従ってください。
始める前に
クライアント用のプロファイルを作成します。詳細は、「プロファイルを作成する方法」を参照してください。
-
インストールサーバーで、rules という名前のテキストファイルを作成します。
-
インストール対象であるシステムのグループごとに、適用するルールを rules ファイルに追加します。
rules ファイルの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「rules ファイルの作成」を参照してください。
-
インストールサーバーに rules ファイルを保存します。
-
$ ./check -p path -r file-name
- -p path
-
使用しているシステムの check スクリプトではなく Solaris 最新リリースソフトウェアイメージの check スクリプトを使用して、rules の妥当性検査を行います。path は、ローカルディスク、マウントされた Solaris DVD、または Solaris SOFTWARE - 1 CD 上のイメージです。
システムが以前のバージョンの Solaris OS を実行している場合、このオプションを使用して、最新バージョンの check スクリプトを実行します。
- -r file_name
-
名前が rules 以外の rules ファイル名を指定します。このオプションを使用すると、rules ファイルに組み込む前にルールの妥当性を検査できます。
check スクリプトを実行すると、rules ファイルの有効性と各プロファイルの有効性の検査結果が表示されます。エラーが検出されないと、 The custom JumpStart configuration is ok と表示されます。check スクリプトによって rules.ok ファイルが作成されます。
-
WAN ブートサーバーがアクセスできる場所に、この rules.ok ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
-
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
-
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
-
-
root が rules.ok ファイルを所有していて、そのアクセス権が 644 に設定されていることを確認します。
例 12–11 rules ファイルの作成と妥当性検査
カスタム JumpStart プログラムでは、wanclient-1 システム用の正しいインストールプロファイルを選択するために、rules ファイルが使用されます。rules という名前のテキストファイルを作成します。次に、このファイルにキーワードと値を追加します。
クライアントシステムの IP アドレスは 192.168.198.210 で、ネットマスクは 255.255.255.0 です。network ルールキーワードを使って、カスタム JumpStart プログラムでクライアントのインストールに使用するプロファイルを指定します。
network 192.168.198.0 - wanclient_prof - |
この rules ファイルは、wanclient_prof を使ってクライアントに Solaris 最新リリースソフトウェアをインストールするよう、カスタム JumpStart プログラムに指示します。
このルールファイルに wanclient_rule という名前を付けます。
プロファイルと rules ファイルを作成したあと、check スクリプトを実行して、ファイルの妥当性を検査します。
wanserver# ./check -r wanclient_rule |
check スクリプトによってエラーが検出されない場合は、rules.ok ファイルが作成されます。
rules.ok ファイルを /opt/apache/htdocs/flash/ ディレクトリに保存します。
WAN ブートインストールの続行
rules.ok ファイルを作成したあと、必要に応じて開始スクリプトと終了スクリプトを設定できます。手順については、「(省略可能) 開始スクリプトと終了スクリプトの作成」を参照してください。
開始スクリプトと終了スクリプトを設定しない場合は、「構成ファイルの作成」を参照して WAN ブートインストールを続行します。
参照
rules ファイルの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「rules ファイルの作成」を参照してください。
rules ファイルのキーワードと値の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「ルールキーワードと値の説明」を参照してください。
(省略可能) 開始スクリプトと終了スクリプトの作成
「開始スクリプト」と「終了スクリプト」は、ユーザーが定義する Bourne シェルスクリプトで、rules ファイル内で指定します。開始スクリプトは、Solaris ソフトウェアがシステムにインストールされる前に作業を実行します。終了スクリプトは、Solaris ソフトウェアがシステムにインストールされたあと、システムがリブートする前に作業を実行します。これらのスクリプトは、カスタム JumpStart インストールで Solaris をインストールするときのみ使用できます。
開始スクリプトを使用すると、派生プロファイルを作成できます。終了スクリプトを使用すると、ファイル、パッケージ、パッチ、ほかのソフトウェアの追加など、各種のポストインストール作業を実行できます。
開始スクリプトと終了スクリプトは、インストールサーバー上で sysidcfg、rules.ok、およびプロファイルの各ファイルと同じディレクトリに保存する必要があります。
-
開始スクリプトの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「開始スクリプトの作成」を参照してください。
-
終了スクリプトの作成方法の詳細は、『Oracle Solaris 10 9/10 インストールガイド (カスタム JumpStart/上級編)』の「終了スクリプトの作成」を参照してください。
WAN ブートインストールの準備を続行するには、「構成ファイルの作成」を参照してください。
構成ファイルの作成
WAN ブートでは、WAN ブートインストールに必要なデータとファイルの場所が、次のファイルによって指定されます。
-
システム構成ファイル (system.conf)
-
wanboot.conf ファイル
ここでは、これら 2 つのファイルの作成方法と保存方法について説明します。
システム構成ファイルを作成する方法
システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。
-
sysidcfg ファイル
-
rules.ok ファイル
-
カスタム JumpStart プロファイル
WAN ブートは、システム構成ファイルのポインタに従って、クライアントに対してインストールと構成を行います。
システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。
setting=value |
システム構成ファイルを使って sysidcfg、rules.ok、およびプロファイルの各ファイルの場所を WAN インストールプログラムに指示するには、次の手順を実行します。
始める前に
システム構成ファイルを作成する前に、WAN ブートインストール用のインストールファイルを作成する必要があります。詳細は、「カスタム JumpStart インストールファイルの作成」を参照してください。
-
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
-
- SsysidCF=sysidcfg-file-URL
-
sysidcfg ファイルが置かれているインストールサーバー上の flash ディレクトリを指定します。この URL は、「sysidcfg ファイルを作成する方法」で作成した sysidcfg ファイルへのパスと一致するようにしてください。
- SjumpsCF=jumpstart-files-URL
-
rules.ok ファイル、プロファイルファイル、および開始スクリプトと終了スクリプトが置かれているインストールサーバー上の Solaris フラッシュディレクトリを指定します。この URL は、「プロファイルを作成する方法」および 「rules ファイルを作成する方法」で作成したカスタム JumpStart ファイルへのパスと一致するようにしてください。
HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
-
WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。
管理上の目的から、WAN ブートサーバーの /etc/netboot ディレクトリにある適切なクライアントのディレクトリに、このファイルを保存することもできます。
-
システム構成ファイルのアクセス権を 600 に変更します。
# chmod 600 /path/system-conf-file
例 12–12 HTTPS を介して WAN ブートインストールを行う場合のシステム構成ファイル
次の例の WAN ブートプログラムは、ポート 1234 上の Web サーバー https://www.example.com で、sysidcfg ファイルとカスタム JumpStart ファイルを検索します。インストール時、Web サーバーは HTTPS を使ってデータとファイルを暗号化します。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
例 12–13 セキュリティー保護されていない WAN ブートインストールを行う場合のシステム構成ファイル
次の例で、WAN ブートプログラムは、Web サーバー http://www.example.com で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。Web サーバーは HTTP を使用するため、インストール時にデータやファイルは保護されません。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
WAN ブートインストールの続行
システム構成ファイルを作成したあと、wanboot.conf ファイルを作成します。手順については、「wanboot.conf ファイルを作成する方法」を参照してください。
wanboot.conf ファイルを作成する方法
wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートプログラムで使用されます。wanboot-cgi プログラム、ブートファイルシステム、および WAN ブートミニルートはすべて、wanboot.conf ファイルに保存されている情報を使ってクライアントマシンのインストールを行います。
WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
WAN ブートサーバーで Solaris 最新リリースが稼働している場合は、/etc/netboot/wanboot.conf.sample に wanboot.conf ファイルの例があります。この例は、WAN ブートインストール用のテンプレートとして使用できます。
wanboot.conf ファイルには、次の情報を指定する必要があります。
これらの情報を指定するには、パラメータとその値を次の書式で列挙します。
parameter=value |
wanboot.conf ファイルのパラメータと構文については、「wanboot.conf ファイルのパラメータと構文」を参照してください。
wanboot.conf ファイルを作成するには、次の手順に従ってください。
-
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
-
wanboot.conf テキストファイルを作成します。
wanboot.conf という名前の新しいテキストファイルを作成するか、/etc/netboot/wanboot.conf.sample にあるファイル例を使用します。ファイル例を使用する場合は、パラメータを追加したあとで、ファイルの名前を wanboot.conf に変更してください。
-
インストール用のパラメータと値を wanboot.conf に入力します。
wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」を参照してください。
-
/etc/netboot ディレクトリの適切なサブディレクトリに wanboot.conf ファイルを保存します。
/etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
-
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf
- path-to-wanboot.conf
-
WAN ブートサーバーにあるクライアントの wanboot.conf ファイルへのパスを指定します
-
wanboot.conf ファイルが構造的に有効であれば、bootconfchk コマンドは終了コード 0 を返します。
-
wanboot.conf ファイルが無効であれば、bootconfchk コマンドは 0 以外の終了コードを返します。
-
wanboot.conf ファイルのアクセス権を 600 に変更します。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf
例 12–14 HTTPS を介して WAN ブートインストールを行う場合の wanboot.conf ファイル
次の wanboot.conf ファイル例には、HTTPS を使った WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで 3DES 暗号化鍵を使用することも指示されています。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
この wanboot.conf ファイルで指定されている構成は次のとおりです。
- boot_file=/wanboot/wanboot.s10_sparc
-
二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
- root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
-
WAN ブートサーバー上の wanboot-cgi プログラムの場所は https://www.example.com:1234/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。
- root_file=/miniroot/miniroot.s10_sparc
-
WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot ディレクトリに置かれています。
- signature_type=sha1
-
wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。
- encryption_type=3des
-
wanboot.s10_sparc プログラムとブートファイルシステムは、3DES 暗号化鍵で暗号化されます。
- server_authentication=yes
-
インストール時にサーバー認証が行われます。
- client_authentication=no
-
インストール時にクライアント認証は行われません。
- resolve_hosts=
-
WAN インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
- boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
-
(省略可能) ブートログメッセージおよびインストールログメッセージが、WAN ブートサーバー上で HTTPS を使用して記録されます。
WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
- system_conf=sys-conf.s10–sparc
-
sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、/etc/netboot ディレクトリのサブディレクトリに置かれています。システム構成ファイルの名前は sys-conf.s10–sparc です。
例 12–15 セキュリティー保護されていない WAN ブートインストールを行う場合の wanboot.conf ファイル
次の wanboot.conf ファイル例には、HTTP を使ったセキュリティーの低い WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで暗号化鍵やハッシュキーを使用しないことも指示されています。
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
この wanboot.conf ファイルで指定されている構成は次のとおりです。
- boot_file=/wanboot/wanboot.s10_sparc
-
二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
- root_server=http://www.example.com/cgi-bin/wanboot-cgi
-
WAN ブートサーバー上の wanboot-cgi プログラムの場所は http://www.example.com/cgi-bin/wanboot-cgi です。このインストールでは HTTPS を使用しません。
- root_file=/miniroot/miniroot.s10_sparc
-
WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot サブディレクトリに置かれています。
- signature_type=
-
wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、ハッシュキーで署名されません。
- encryption_type=
-
wanboot.s10_sparc プログラムとブートファイルシステムは、暗号化されません。
- server_authentication=no
-
インストール時に、キーや証明書によるサーバー認証は行われません。
- client_authentication=no
-
インストール時に、キーや証明書によるクライアント認証は行われません。
- resolve_hosts=
-
インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
- boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
-
(省略可能) WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
- system_conf=sys-conf.s10–sparc
-
sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、sys-conf.s10–sparc という名前です。このファイルは、/etc/netboot ディレクトリにある適切なクライアントのサブディレクトリに置かれています。
WAN ブートインストールの続行
wanboot.conf ファイルを作成したあと、必要に応じて、WAN ブートをサポートするように DHCP サーバーを構成できます。手順については、「(省略可能) DHCP による構成情報の提供」を参照してください。
WAN ブートインストールで DHCP サーバーを使用しない場合は、「クライアント OBP の net デバイス別名を確認する方法」を参照して WAN ブートインストールを続行します。
参照
wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」および wanboot.conf(4) のマニュアルページを参照してください。
(省略可能) DHCP による構成情報の提供
ネットワークで DHCP サーバーを使用する場合は、次の情報を提供するように DHCP サーバーを構成できます。
-
プロキシサーバーの IP アドレス
-
wanboot-cgi プログラムの場所
WAN ブートインストールでは、次の DHCP ベンダーオプションを使用できます。
Solaris DHCP サーバーにこれらのベンダーオプションを設定する方法については、「DHCP サービスによるシステム構成情報の事前設定 (作業)」を参照してください。
Solaris DHCP サーバーの設定方法の詳細は、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。
WAN ブートインストールを続行するには、第 13 章SPARC: WAN ブートによるインストール (作業)を参照してください。
- © 2010, Oracle Corporation and/or its affiliates