3 WAN(Wide Area Network)을 통한 설치

이 부분에서는 WAN 부트 설치 방법을 사용하여 WAN(Wide Area Network)을 통하여 시스템을 설치하는 방법에 대하여 설명합니다.

10장 WAN 부트(개요)

이 장에서는 WAN 부트 설치 방법에 대해 개괄적으로 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

• WAN 부트란?

• WAN 부트 사용 시기

• WAN 부트 작업 방법(개요)

• WAN 부트 지원 보안 구성(개요)

WAN 부트란?

WAN 부트 설치 방법을 사용하면 HTTP를 사용하여 WAN(wide area network)을 통해 소프트웨어를 부트하고 설치할 수 있습니다. WAN 부트을 사용하여 네트워크 인프라의 신뢰도가 의심되는 대형 공용 네트워크를 통하여 SPARC 기반 시스템에 Solaris OS를 설치할 수 있습니다. WAN 부트를 보안 기능과 함께 사용하여 데이터 기밀 및 설치 이미지 무결성을 보호할 수 있습니다.

WAN 부트 설치 방법을 사용하면 공용 네트워크를 통해 암호화된 Solaris Flash 아카이브를 원격 SPARC 기반 클라이언트로 전송할 수 있습니다. 그런 다음 WAN 부트 프로그램은 사용자 정의 JumpStart를 설치하여 해당 클라이언트 시스템을 설치합니다. 설치의 무결성을 보호하기 위해 개인 키를 사용하여 데이터를 인증하고 암호화할 수 있습니다. 또한 시스템에서 디지털 인증서를 사용하도록 구성하여 보안 HTTP 연결을 통해 설치 데이터 및 파일을 전송할 수 있습니다.

WAN 부트를 설치하려면 HTTP나 보안 HTTP 연결을 통해 웹 서버에서 다음 정보를 다운로드하여 SPARC 기반 시스템을 설치합니다.

• wanboot 프로그램 – wanboot 프로그램은 WAN 부트 미니루트, 클라이언트 구성 파일 및 설치 파일을 로드하는 두 번째 수준의 부트 프로그램입니다. wanboot 프로그램은 ufsboot 또는 inetboot 두 번째 수준의 부트 프로그램에서 수행하는 작업과 유사한 작업을 수행합니다.

• WAN 부트 파일 시스템 – WAN 부트는 여러 다른 파일을 사용하여 클라이언트를 구성하고 데이터를 검색하여 클라이언트 시스템을 설치합니다. 이러한 파일은 웹 서버의 /etc/netboot 디렉토리에 있습니다. wanboot-cgi 프로그램은 WAN 부트 파일 시스템이라는 파일 시스템으로 이러한 파일을 클라이언트에 전송합니다.

• WAN 부트 미니루트 – WAN 부트 미니루트는 WAN 부트를 설치하기 위해 수정된 Solaris 미니루트 버전입니다. WAN 부트 미니루트에는 Solaris 미니루트와 같이 Solaris 환경을 설치하기에 적합한 정도의 소프트웨어와 커널이 들어 있습니다. WAN 부트 미니루트에는 Solaris 미니루트에 있는 소프트웨어의 일부가 들어 있습니다.

• 사용자 정의 JumpStart 구성 파일 – 시스템을 설치하기 위해 WAN 부트는 sysidcfg, rules.ok 및 프로필 파일을 클라이언트에게 전송합니다. 그런 다음 WAN 부트는 이 파일을 사용하여 해당 클라이언트 시스템에 사용자 정의 JumpStart를 설치합니다.

• Solaris Flash 아카이브 – Solaris Flash 아카이브는 마스터 시스템에서 복사해 온 파일의 모음입니다. 그런 다음 이 아카이브를 사용하여 클라이언트 시스템을 설치할 수 있습니다. WAN 부트는 사용자 정의 JumpStart 설치 방법을 사용하여 해당 클라이언트 시스템에 Solaris Flash 아카이브를 설치합니다. 클라이언트 시스템에 아카이브를 설치하면 해당 시스템이 마스터 시스템의 정확한 구성을 갖게 됩니다.

  ---

  주 –

  flarcreate 명령은 개별 파일에 대해 더 이상 크기 제한을 두지 않습니다. 4GB가 넘는 개별 파일을 포함하는 Solaris Flash 아카이브를 만들 수 있습니다.

  자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 대형 파일을 포함하는 아카이브 만들기를 참조하십시오.

  ---

그런 다음 JumpStart 설치 방법을 사용하여 해당 클라이언트에 아카이브를 설치합니다.

키와 디지털 인증서를 사용하여 앞서 나열한 정보의 전송을 보호할 수 있습니다.

WAN 부트 설치의 이벤트 순서에 대한 자세한 설명은 WAN 부트 작업 방법(개요) 을 참조하십시오.

WAN 부트 사용 시기

WAN 부트 설치 방법을 사용하면 지리적으로 원거리에 위치한 SPARC 기반 시스템을 설치할 수 있습니다. WAN 부트를 사용하여 공용 네트워크를 통해서만 액세스할 수 있는 원격 서버나 클라이언트를 설치하려 할 수도 있습니다.

근거리 통신망(LAN)에 있는 시스템을 설치하려는 경우 WAN 부트 설치 방법은 보다 세심한 구성과 관리를 필요로 합니다. LAN을 통해 시스템을 설치하는 방법에 대한 자세한 내용은 4 장네트워크에서 설치(개요)를 참조하십시오.

WAN 부트 작업 방법(개요)

WAN 부트는 원격 SPARC 기반 클라이언트를 설치하기 위해 서버, 구성 파일, CGI(Common Gateway Interface) 프로그램 및 설치 파일을 조합하여 사용합니다. 이 절에서는 WAN 부트 설치 시의 일반적인 이벤트 순서에 대해 설명합니다.

WAN 부트 설치 시 이벤트 순서

그림 10–1은 WAN 부트 설치의 기본 이벤트 시퀀스를 보여줍니다. 이 그림에서 SPARC 기반 클라이언트는 WAN을 통해 웹 서버 및 설치 서버에서 구성 데이터와 설치 파일을 검색합니다.

그림 10–1 WAN 부트 설치 시 이벤트 순서

1. 다음 중 한 가지 방법을 사용하여 해당 클라이언트를 부트합니다.

   • OBP(Open Boot PROM)에서 네트워크 인터페이스 변수를 설정하여 네트워크에서 부트합니다.

   • DHCP 옵션을 사용하여 네트워크에서 부트합니다.

   • 로컬 CD-ROM에서 부트합니다.

2. 클라이언트 OBP는 다음 중 하나의 소스로부터 구성 정보를 얻습니다.

   • 사용자가 명령줄에 입력한 부트 인자 값에서

   • 네트워크에서 DHCP를 사용하는 경우 해당 DHCP 서버에서

3. 클라이언트 OBP는 WAN 부트 두 번째 수준의 부트 프로그램(wanboot)을 요청합니다.

   클라이언트 OBP는 다음 소스로부터 wanboot 프로그램을 다운로드합니다.

   • WAN 부트 서버라는 특수 웹 서버에서 HTTP(Hyper Text Transfer Protocol)를 사용하여

   • 로컬 CD-ROM에서(그림에는 표시되지 않음)

4. wanboot 프로그램은 WAN 부트 서버에 클라이언트 구성 정보를 요청합니다.

5. wanboot 프로그램은 WAN 부트 서버의 wanboot-cgi 프로그램에서 전송된 구성 파일을 다운로드합니다. 구성 파일은 WAN 부트 파일 시스템으로 해당 클라이언트에게 전송됩니다.

6. wanboot 프로그램은 WAN 부트 서버에 WAN 부트 미니루트의 다운로드를 요청합니다.

7. wanboot 프로그램은 HTTP나 보안 HTTP를 사용하여 WAN 부트 서버에서 WAN 부트 미니루트를 다운로드합니다.

8. wanboot 프로그램은 WAN 부트 미니루트에서 UNIX 커널을 로드하여 실행합니다.

9. UNIX 커널은 Solaris 설치 프로그램에서 사용할 WAN 부트 파일 시스템을 찾아 마운트합니다.

10. 설치 프로그램은 설치 서버에 Solaris Flash 아카이브와 사용자 정의 JumpStart 파일을 다운로드할 것을 요청합니다.

    설치 프로그램은 HTTP 또는 HTTPS 연결을 통해 아카이브 및 사용자 정의 JumpStart 파일을 다운로드합니다.

11. 설치 프로그램은 사용자 정의 JumpStart 설치를 수행하여 해당 클라이언트에 Solaris Flash 아카이브를 설치합니다.

WAN 부트 설치 시 데이터 보호

WAN 부트 설치 방법에서는 설치하는 동안 해싱 키, 암호 키 및 디지털 인증서를 사용하여 시스템 데이터를 보호할 수 있습니다. 이 절에서는 WAN 부트 설치 방법에서 지원하는 다양한 데이터 보호 방법에 대해 간단히 설명합니다.

해싱 키를 사용한 데이터 무결성 검사

WAN 부트 서버에서 클라이언트로 전송하는 데이터를 보호하기 위해 HMAC(해시된 메시지 인증 코드) 키를 생성할 수 있습니다. 해싱 키를 WAN 부트 서버와 클라이언트 모두에 설치합니다. WAN 부트 서버는 이 키를 사용하여 해당 클라이언트로 전송할 데이터에 서명합니다. 그런 다음 클라이언트는 이 키를 사용하여 WAN 부트 서버에서 전송된 데이터의 무결성을 확인합니다. 클라이언트에 해싱 키를 설치하면 해당 클라이언트는 나중에 이 키를 사용하여 WAN 부트를 설치합니다.

해싱 키를 사용하는 방법에 대한 자세한 설명은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

암호 키를 사용한 데이터 암호화

WAN 부트 설치 방법을 사용하면 WAN 부트 서버에서 클라이언트로 전송하는 데이터를 암호화할 수 있습니다. WAN 부트 유틸리티를 사용하여 3DES(Triple Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 암호 키를 만들 수 있습니다. 그런 다음 WAN 부트 서버와 해당 클라이언트 모두에 이 키를 제공할 수 있습니다. WAN 부트는 이 암호 키를 사용하여 WAN 부트 서버에서 클라이언트로 전송된 데이터를 암호화합니다. 그러면 해당 클라이언트는 이 키를 사용하여 설치하는 동안 암호화되어 전송된 구성 파일과 보안 파일을 해독할 수 있습니다.

일단 암호 키를 클라이언트에 설치하면 해당 클라이언트는 나중에 이 키를 사용하여 WAN 부트를 설치합니다.

사용자 사이트에서 암호 키 사용을 허용하지 않을 수 있습니다. 사이트에서 암호화 허용 여부를 확인하려면 해당 사이트의 보안 관리자에게 문의하십시오. 사이트에서 암호화를 허용하는 경우에는 사용해야 할 암호 키 유형(3DES 또는 AES)을 보안 관리자에게 문의합니다.

암호 키를 사용하는 방법에 대한 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

HTTPS를 사용한 데이터 보호

WAN 부트는 WAN 부트 서버와 클라이언트 간 데이터 전송을 위한 Secure Sockets Layer(HTTPS)를 통한 HTTP 사용을 지원합니다. 설치하는 동안 HTTPS를 사용하여 서버 또는 서버와 클라이언트 모두에 자가 인증을 요구할 수 있습니다. 또한 HTTPS는 설치동안 서버에서 클라이언트로 전송된 데이터를 암호화합니다.

HTTPS는 디지털 인증서를 사용하여 네트워크를 통해 데이터를 교환하는 시스템을 인증합니다. 디지털 인증서는 온라인 통신 도중 서버나 클라이언트 같은 시스템을 신뢰할 수 있는 시스템으로 확인하는 파일입니다. 외부 인증 기관으로부터 디지털 인증서를 요청하거나 사용자 고유 인증서 및 인증 기관을 만들 수 있습니다.

클라이언트가 서버를 신뢰하여 서버로부터 데이터를 받아들이게 하려면 해당 서버에 디지털 인증서를 설치해야 합니다. 그런 다음 해당 클라이언트에게 이 인증서를 신뢰할 것을 지시합니다. 또한 해당 클라이언트에게 디지털 인증서를 제공하여 클라이언트의 자가 인증을 요구할 수 있습니다. 그런 다음 해당 서버에 지시하여 설치하는 동안 클라이언트가 인증서를 제시하면 인증서 서명자를 수락하도록 할 수 있습니다.

설치하는 동안 디지털 인증서를 사용하려면 웹 서버가 HTTPS를 사용하도록 구성해야 합니다. HTTPS 사용 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

WAN 부트 설치하는 동안 디지털 인증서를 사용하기 위한 요구 사항은 디지털 인증서 요구 사항을 참조하십시오. WAN 부트 설치 시 디지털 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

WAN 부트 지원 보안 구성(개요)

WAN 부트는 다양한 보안 수준을 지원합니다. WAN 부트에서 지원하는 보안 기능 조합을 사용하여 네트워크의 요구를 충족시킬 수 있습니다. 보다 안전한 구성을 위해서는 보다 많은 관리가 필요하지만 더 많은 시스템 데이터를 보호하는 것도 포함됩니다. 중요도가 높은 중요 시스템 또는 공용 네트워크를 통하여 설치하려는 시스템에 대하여 보안 WAN 부트 설치 구성의 구성을 선택할 수 있습니다. 중요도가 낮은 시스템이나 일부 개인 네트워크에 있는 시스템의 경우 비보안 WAN 부트 설치 구성에 설명된 구성을 고려하십시오.

이 절에서는 사용자 WAN 부트 설치를 위해 보안 수준을 설정할 때 사용할 수 있는 다양한 구성에 대해 간단히 설명합니다. 또한 이 절에서는 이러한 구성에 필요한 보안 메커니즘에 대해 설명합니다.

보안 WAN 부트 설치 구성

이 구성을 사용하면 서버와 클라이언트 간에 교환된 데이터의 무결성을 보호하고 교환된 내용을 기밀로 유지할 수 있습니다. 이 구성은 HTTPS 연결을 사용하며 3DES나 AES 알고리즘 중 하나를 사용하여 클라이언트 구성 파일을 암호화합니다. 또한 이 구성은 설치하는 동안 해당 서버에 해당 클라이언트에 대해 자가 인증할 것을 요구합니다. 보안 WAN 부트를 설치하는 동안에는 다음 보안 기능이 필요합니다.

• WAN 부트 서버 및 설치 서버에서 사용 가능한 HTTPS

• WAN 부트 서버 및 클라이언트의 HMAC SHA1 해싱 키

• WAN 부트 서버 및 클라이언트의 3DES 또는 AES 암호 키

• WAN 부트 서버에 대한 인증 기관의 디지털 인증서

또한 설치하는 동안 클라이언트 인증을 요구하려면 다음 보안 기능도 사용해야 합니다.

• WAN 부트 서버에 대한 개인 키

• 클라이언트에 대한 디지털 인증서

이 구성을 사용하여 설치하는 데 필요한 작업 목록은 표 12–1을 참조하십시오.

비보안 WAN 부트 설치 구성

이 보안 구성을 사용하면 관리 요구 사항은 최소한으로 적어지지만 웹 서버에서 클라이언트로 데이터 전송시 가장 불안전합니다. 해싱 키, 암호 키 또는 디지털 인증서를 만들지 않아도 됩니다. 웹 서버가 HTTPS를 사용하도록 구성할 필요가 없습니다. 하지만 이 구성에서는 HTTP 연결을 통해 설치 데이터와 파일을 전송하므로 설치하는 동안 네트워크를 통한 인터셉트에 취약하게 됩니다.

해당 클라이언트가 전송된 데이터의 무결성을 검사하도록 하려면 이 구성에 HMAC SHA1 해싱 키를 함께 사용할 수 있습니다. 하지만 해싱 키로 Solaris Flash 아카이브를 보호할 수는 없습니다. 설치하는 동안 서버와 클라이언트 간에 아카이브가 비보안 상태로 전송됩니다.

이 구성을 사용하여 설치하는 데 필요한 작업 목록은 표 12–2를 참조하십시오.

11장 WAN 부트 설치 준비(계획)

이 장에서는 WAN 부트를 설치할 네트워크를 준비하는 방법에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

• WAN 부트 요구 사항 및 지침

• WAN 부트 보안 제한 사항

• WAN 부트 설치에 필요한 정보 수집

WAN 부트 요구 사항 및 지침

이 절에서는 WAN 부트를 설치하기 위한 시스템 요구 사항에 대해 설명합니다.

웹 서버 소프트웨어 요구 사항 및 지침

WAN 부트 서버와 설치 서버에서 사용하는 웹 서버 소프트웨어는 다음 요구 사항을 충족해야 합니다.

• 운영 체제 요구 사항 – WAN 부트는 데이터와 파일을 클라이언트 시스템에서 원하는 특정 형식으로 변환하는 CGI(Common Gateway Interface) 프로그램(wanboot-cgi)을 제공합니다. 이 스크립트를 사용하여 WAN 부트 설치를 수행하려면 웹 서버 소프트웨어가 반드시 Solaris 9 12/03 OS 또는 호환 버전이 있어야 합니다.

• 파일 크기 제한 – 웹 서버에서 HTTP를 통해 전송할 수 있는 파일의 크기를 제한할 수 있습니다. 웹 서버 설명서를 통해 해당 소프트웨어에서 Solaris Flash 아카이브 크기의 파일을 전송할 수 있는지 확인합니다.

  ---

  주 –

  flarcreate 명령은 개별 파일에 대해 더 이상 크기 제한을 두지 않습니다. 4GB가 넘는 개별 파일을 포함하는 Solaris Flash 아카이브를 만들 수 있습니다.

  자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 대형 파일을 포함하는 아카이브 만들기를·참조하십시오.

  ---

• SSL 지원 – WAN 부트 설치 시 HTTPS를 사용하려면 웹 서버 소프트웨어에서 SSL 버전 3을 지원해야 합니다.

서버 구성 옵션

WAN 부트에 필요한 서버의 구성을 사용자 정의하여 사용자의 네트워크 요구 사항을 충족시킬 수 있습니다. 모든 서버를 한 시스템에 호스트하거나 다중 시스템에 배치할 수 있습니다.

• 단일 서버 – WAN 부트 데이터와 파일을 한 시스템에 집중시키려는 경우 모든 서버를 동일한 시스템에 호스트할 수 있습니다. 한 시스템을 웹 서버로 구성하기만 하면 다양한 모든 서버를 한 시스템에서 관리할 수 있습니다. 하지만 단일 서버에서는 동시에 많은 수의 WAN 부트를 설치할 때 필요한 트래픽 볼륨을 지원하지 못할 수도 있습니다.

• 다중 서버 – 설치 데이터와 파일을 네트워크 전체에 분산하려는 경우에는 이러한 서버를 다중 시스템에 호스트할 수 있습니다. 중앙 WAN 부트 서버를 설정하고 여러 설치 서버를 구성하여 네트워크에서 Solaris Flash 아카이브를 호스트할 수도 있습니다. 설치 서버와 로깅 서버를 독립 시스템에 호스트하는 경우 이러한 서버는 웹 서버로 구성해야 합니다.

문서 루트 디렉토리에 설치 및 구성 파일 저장

wanboot-cgi 프로그램에서는 WAN 부트를 설치하는 동안 다음 파일을 전송합니다.

• wanboot 프로그램

• WAN 부트 미니루트

• 사용자 정의 JumpStart 파일

• Solaris Flash 아카이브

wanboot-cgi 프로그램이 이러한 파일을 전송할 수 있게 하려면 해당 파일을 웹 서버 소프트웨어에서 액세스할 수 있는 디렉토리에 저장해야 합니다. 이러한 파일에 액세스할 수 있는 한 가지 방법으로 파일을 사용자 웹 서버의 document root(문서 루트)에 둘 수 있습니다.

문서 루트 또는 기본 문서 디렉토리는 클라이언트가 사용할 수 있도록 파일을 저장하는 웹 서버의 디렉토리입니다. 사용자 웹 서버 소프트웨어에서 이러한 디렉토리의 이름을 지정하고 구성할 수 있습니다. 사용자 웹 서버에서 문서 루트 디렉토리를 설정하는 방법에 대한 자세한 내용은 해당 웹 서버 설명서를 참조하십시오.

해당 문서 루트 디렉토리에 여러 하위 디렉토리를 만들어 다양한 설치 및 구성 파일을 저장하려 할 수도 있습니다. 예를 들어, 설치할 각 클라이언트 그룹에 대해 특정 하위 디렉토리를 만들려는 경우입니다. 네트워크 전체에 여러 가지 서로 다른 Solaris OS 릴리스를 설치하는 경우 각 릴리즈마다 하위 디렉토리를 만들 수 있습니다.

그림 11–1은 문서 루트 디렉토리의 기본 샘플 구조를 보여줍니다. 이 예에서 WAN 부트 서버와 설치 서버는 동일한 시스템 상에 있으며 해당 서버는 Apache 웹 서버 소프트웨어를 실행하고 있습니다.

그림 11–1 문서 루트 디렉토리의 샘플 구조

이 샘플 문서 디렉토리는 다음 구조를 사용합니다.

• /opt/apache/htdocs 디렉토리는 문서 루트 디렉토리입니다.

• WAN 부트 미니루트(miniroot) 디렉토리는 WAN 부트 미니루트를 포함합니다.

• wanboot 디렉토리는 wanboot 프로그램을 포함합니다.

• Solaris Flash(flash) 디렉토리에는 클라이언트 및 하위 디렉토리 archives를 설치하는 데 필요한 사용자 정의 JumpStart 파일이 포함됩니다. archives 디렉토리에는 현재 Solaris 릴리스 Flash 아카이브가 포함됩니다.

WAN 부트 서버와 설치 서버가 다른 시스템인 경우 사용자는 설치 서버에 flash 디렉토리를 저장하려 할 수 있습니다. WAN 부트 서버에서 이러한 파일과 디렉토리에 액세스할 수 있는지 확인합니다.

문서 루트 디렉토리를 만드는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오. 이들 설치 파일을 만들고 저장하는 방법에 대한 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

/etc/netboot 계층에 구성 및 보안 정보 저장

/etc/netboot 디렉토리에는 WAN 부트 설치에 필요한 구성 정보, 개인 키, 디지털 인증서 및 인증 기관이 들어 있습니다. 이 절에서는 WAN 부트 설치를 사용자 정의하기 위해 /etc/netboot 디렉토리에 만들 수 있는 파일과 디렉토리에 대해 설명합니다.

WAN 부트 설치 범위 사용자 정의

설치하는 동안 wanboot-cgi 프로그램에서는 WAN 부트 서버의 /etc/netboot 디렉토리에서 클라이언트 정보를 검색합니다. wanboot-cgi 프로그램은 이 정보를 WAN 부트 파일 시스템으로 변환한 다음 이를 해당 클라이언트에 전송합니다. /etc/netboot 디렉토리에 하위 디렉토리를 만들어 WAN 설치 범위를 사용자 정의할 수 있습니다. 다음 디렉토리 구조를 사용하여 설치하려는 클라이언트 간 구성 정보 공유 방법을 정의합니다.

• 전역 구성 – 네트워크 상의 모든 클라이언트가 구성 정보를 공유하게 하려면 공유할 파일을 /etc/netboot 디렉토리에 저장합니다.

• 네트워크별 구성 – 특정 서브넷의 시스템에서만 구성 정보를 공유하려면 공유할 구성 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.

  /etc/netboot/net-ip

  이 예에서 net-ip는 클라이언트 서브넷의 IP 주소입니다. 예를 들어, IP 주소가 192.168.255.0인 서브넷상의 모든 시스템에서 구성 파일을 공유하려면 /etc/netboot/192.168.255.0 디렉토리를 만듭니다. 그런 다음 해당 구성 파일을 이 디렉토리에 저장합니다.

• 클라이언트별 구성 – 특정 클라이언트만 부트 파일 시스템을 사용하도록 하려면 부트 파일 시스템 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.

  /etc/netboot/net-ip/client-ID

  이 예에서 net-ip는 서브넷의 IP 주소입니다. client-ID는 DHCP 서버에서 할당한 클라이언트 ID이거나 사용자별 클라이언트 ID입니다. 예를 들어, 서브넷 192.168.255.0에서 클라이언트 ID가 010003BA152A42인 시스템이 특정 구성 파일을 사용하게 하려면 /etc/netboot/192.168.255.0/010003BA152A42 디렉토리를 만듭니다. 그런 다음 해당 파일을 이 디렉토리에 저장합니다.

/etc/netboot 디렉토리에 보안 및 구성 정보 지정

다음 파일을 만들고 /etc/netboot 디렉토리에 저장하여 보안 및 구성 정보를 지정합니다.

• wanboot.conf – 이 파일은 WAN 부트 설치에 대한 클라이언트 구성 정보를 지정합니다.

• 시스템 구성 파일( system.conf) – 이 시스템 구성 파일은 클라이언트의 sysidcfg 파일 및 사용자 정의 JumpStart 파일의 위치를 지정합니다.

• keystore – 이 파일에는 클라이언트의 HMAC SHA1 해싱 키, 3DES 또는 AES 암호 키 및 SSL 개인 키가 들어 있습니다.

• truststore – 이 파일에는 클라이언트가 신뢰하는 인증서 서명 기관의 디지털 인증서가 들어 있습니다. 이러한 신뢰할 수 있는 인증서는 해당 클라이언트에게 설치하는 동안 서버를 신뢰할 것을 지시합니다.

• certstore – 이 파일에는 클라이언트의 디지털 인증서가 들어 있습니다.

  ---

  주 –

  certstore 파일은 클라이언트 ID 디렉토리에 있어야 합니다. /etc/netboot 디렉토리의 하위 디렉토리에 대한 자세한 내용은 WAN 부트 설치 범위 사용자 정의를 참조하십시오

  ---

이러한 파일을 만들고 저장하는 방법에 대한 자세한 내용은 다음 절차를 참조하십시오.

• 시스템 구성 파일 만들기

• wanboot.conf 파일 만들기

• (선택 사항) 해싱 키 및 암호 키 만들기

• (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용

/etc/netboot 디렉토리에서 보안 및 구성 정보 공유

네트워크에 클라이언트를 설치하기 위해 여러 다른 클라이언트 간 또는 전체 서브넷에서 보안 및 구성 파일을 공유하려 할 수 있습니다. /etc/netboot/net-ip/client-ID, /etc/netboot/net-ip 및 /etc/netboot 디렉토리에 구성 정보를 분산하여 이러한 파일을 공유할 수 있습니다. wanboot-cgi 프로그램은 이러한 디렉토리에서 클라이언트에 가장 적합한 구성 정보를 검색하여 설치하는 동안 해당 정보를 사용합니다.

wanboot-cgi 프로그램은 다음 순서로 클라이언트 정보를 검색합니다.

1. /etc/netboot/net-ip/client-ID – wanboot-cgi 프로그램은 먼저 해당 클라이언트 시스템에 대한 구성 정보를 확인합니다. /etc/netboot/net-ip/client-ID 디렉토리에 클라이언트 구성 정보가 모두 포함되어 있으면 wanboot-cgi 프로그램은 /etc/netboot 디렉토리의 다른 곳에서는 구성 정보를 확인하지 않습니다.

2. /etc/netboot/net-ip – 필요한 정보가 /etc/netboot/net-ip/client-ID 디렉토리에 모두 있지 않으면 wanboot-cgi 프로그램은 /etc/netboot/net-ip 디렉토리에서 서브넷 구성 정보를 확인합니다.

3. /etc/netboot - 나머지 정보가 /etc/netboot/net-ip 디렉토리에 없으면 wanboot-cgi 프로그램은 /etc/netboot 디렉토리에서 전역 구성 정보를 확인합니다.

그림 11–2는 /etc/netboot 디렉토리를 설정하여 WAN 부트 설치를 사용자 정의할 수 있는 방법을 보여줍니다.

그림 11–2 샘플 /etc/netboot 디렉토리

그림 11–2의 /etc/netboot 디렉토리 레이아웃을 사용하여 다음 WAN 부트 설치를 수행할 수 있습니다.

• 클라이언트 010003BA152A42 설치 시 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0/010003BA152A42 디렉토리에서 다음 파일을 사용합니다.

  • system.conf

  • keystore

  • truststore

  • certstore

  그런 다음 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0 디렉토리의 wanboot.conf 파일을 사용합니다.

• 192.168.255.0 서브넷에 있는 클라이언트를 설치하는 경우 wanboot-cgi 프로그램은 /etc/netboot/192.168.255.0 디렉토리에서 wanboot.conf, keystore 및 truststore 파일을 사용합니다. 그런 다음 wanboot-cgi 프로그램은 /etc/netboot 디렉토리의 system.conf 파일을 사용합니다.

• 192.168.255.0 서브넷에 없는 클라이언트 시스템을 설치하는 경우 wanboot-cgi 프로그램은 /etc/netboot 디렉토리에서 다음 파일을 사용합니다.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

wanboot-cgi 프로그램 저장

wanboot-cgi 프로그램은 WAN 부트 서버에서 해당 클라이언트로 데이터 및 파일을 전송합니다. 사용자는 이 프로그램이 클라이언트에서 액세스할 수 있는 WAN 부트 서버의 디렉토리에 있는지 확인해야 합니다. 해당 클라이언트에서 이 프로그램에 액세스할 수 있게 하는 한 가지 방법은 프로그램을 WAN 부트 서버의 cgi-bin 디렉토리에 저장하는 것입니다. wanboot-cgi 프로그램을 CGI 프로그램으로 사용하도록 웹 서버 소프트웨어를 구성해야 합니다. CGI 프로그램 요구 사항에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

디지털 인증서 요구 사항

WAN 부트 설치에 보안을 추가하려는 경우 디지털 인증서를 사용하여 서버 및 클라이언트 인증을 사용 가능하게 할 수 있습니다. WAN 부트는 디지털 인증서를 사용하여 온라인 트랜잭션 도중 서버나 클라이언트의 ID를 설정할 수 있습니다. 디지털 인증서는 CA(인증 기관)에서 발행합니다. 이러한 인증서에는 일련 번호, 만료일, 인증서 소유자 공용 키의 복사본 및 인증 기관의 디지털 서명이 포함됩니다.

설치하는 동안 서버 인증이 필요하거나 클라이언트와 서버 인증이 모두 필요한 경우 해당 서버에 디지털 인증서를 설치해야 합니다. 디지털 인증서를 사용하는 경우 다음 지침을 따릅니다.

• 디지털 인증서를 사용하려는 경우 해당 디지털 인증서는 PKCS#12(Public-Key Cryptography Standards #12) 파일 형식으로 지정해야 합니다.

• 고유한 인증서를 만들려면 해당 인증서를 PKCS#12 파일로 만들어야 합니다.

• 타사 인증 기관에서 인증서를 받는 경우 인증서를 PKCS#12 형식으로 요청합니다.

WAN 부트 설치하는 동안 PKCS#12 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

WAN 부트 보안 제한 사항

WAN 부트는 여러 다양한 보안 기능을 제공하지만 WAN 부트에서 이러한 잠재적인 비보안 문제를 다루고 있지는 않습니다.

• DoS(서비스 거부) 공격 – 서비스 거부 공격은 다양한 형태로 나타날 수 있으며 그 목표는 특정 서비스에 대한 사용자의 액세스를 막는 것입니다. DoS 공격은 많은 양의 데이터로 네트워크를 제압하거나 제한된 자원을 적극적으로 소모하는 것일 수 있습니다. 다른 DoS 공격은 전송 도중 시스템 간 전송되는 데이터를 조작하는 것입니다. WAN 부트 설치 방법는 DoS 공격으로부터 서버나 클라이언트를 보호하지 않습니다.

• 서버의 손상된 바이너리 – WAN 부트 설치 방법은 설치를 수행하기 전에 WAN 부트 미니루트나 Solaris Flash 아카이브의 무결성을 확인하지 않습니다. 설치를 수행하기 전에 http://sunsolve.sun.com의 Solaris Fingerprint Database에 대해 Solaris 바이너리의 무결성을 확인하십시오.

• 암호 키 및 해싱 키 프라이버시 – WAN 부트에 암호 키나 해싱 키를 사용하는 경우 설치하는 동안 명령줄에 해당 키 값을 입력해야 합니다. 사용자 네트워크의 필수 주의 사항에 따라 이러한 키 값이 비공개 상태로 남아 있는지 확인합니다.

• 네트워크 이름 지정 서비스 침해 – 네트워크에서 이름 지정 서비스를 사용하는 경우 WAN 부트를 설치하기 전에 이름 서버의 무결성을 확인합니다.

WAN 부트 설치에 필요한 정보 수집

WAN 부트를 설치할 네트워크를 구성하려면 다양한 정보를 수집해야 합니다. WAN을 통한 설치 준비 시 이 정보를 기록하려 할 수도 있습니다.

다음 워크시트를 사용하여 해당 네트워크의 WAN 부트 설치 정보를 기록합니다.

• 표 11–2

• 표 11–3

12장 WAN 부트를 사용하여 설치(작업)

이 장에서는 WAN 부트 설치 준비에 필요한 다음 작업에 대해 설명합니다.

• WAN(Wide Area Network)을 통해 설치(작업 맵)

• WAN 부트 서버 구성

• 사용자 정의 JumpStart 설치 파일 만들기

• 구성 파일 만들기

• (선택 사항) DHCP 서버를 사용하여 구성 정보 제공

• (선택 사항) WAN 부트 로깅 서버 구성

WAN(Wide Area Network)을 통해 설치(작업 맵)

WAN 부트 설치 준비를 위하여 수행해야 하는 작업 목록은 다음 표와 같습니다.

• 보안 WAN 부트 설치 준비를 수행하는 데 필요한 작업 목록은 표 12–1을 참조하십시오 .

  HTTPS를 통한 보안 WAN 부트 설치에 대한 설명은 보안 WAN 부트 설치 구성을 참조하십시오.

• 비보안 WAN 부트 설치 준비를 수행하는 데 필요한 작업 목록은 표 12–2를 참조하십시오 .

  비보안 WAN 부트 설치에 대한 설명은 비보안 WAN 부트 설치 구성을 참조하십시오 .

DHCP 서버 또는 로깅 서버를 사용하려면 각 테이블의 맨 아래에 나열된 선택적 작업을 완료합니다.

WAN 부트 서버 구성

WAN 부트 서버는 WAN 부트 설치 중 부트 및 구성 데이터를 제공하는 웹 서버입니다. WAN 부트 서버용 시스템 요구 사항 목록은 표 11–1을 참조하십시오 .

이 절에서는 WAN 부트 설치를 위해 WAN 부트 서버를 구성하는 데 필요한 다음 작업에 대해 설명합니다.

• 문서 루트 디렉토리 만들기

• WAN 부트 미니루트 만들기

• WAN 부트 서버에 wanboot 프로그램 설치

• WAN 부트 서버에 /etc/netboot 계층 만들기

• WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사

• (선택 사항) HTTPS를 사용하여 데이터 보호

문서 루트 디렉토리 만들기

구성 및 설치 파일을 제공하려면 WAN 부트 서버의 웹 서버 소프트웨어에서 이러한 파일에 액세스할 수 있어야 합니다. 이러한 파일에 액세스할 수 있게 하는 한 가지 방법은 WAN 부트 서버의 문서 루트 디렉토리에 이러한 파일을 저장하는 것입니다.

문서 루트 디렉토리를 사용하여 구성 및 설치 파일을 제공하려면 이 디렉토리를 만들어야 합니다. 문서 루트 디렉토리를 만드는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오. 문서 루트 디렉토리를 디자인하는 자세한 방법은 문서 루트 디렉토리에 설치 및 구성 파일 저장을 참조하십시오.

이 디렉토리를 설정하는 방법에 대한 예는 문서 루트 디렉토리 만들기를 참조하십시오.

문서 루트 디렉토리를 만든 후 WAN 부트 미니루트를 만듭니다. 방법은 WAN 부트 미니루트 만들기를 참조하십시오.

WAN 부트 미니루트 만들기

WAN 부트는 수정된 특수 Solaris 미니루트를 사용하여 WAN 부트를 설치합니다. WAN 부트 미니루트에는 Solaris 미니루트에 있는 소프트웨어의 일부가 들어 있습니다. WAN 부트 설치를 수행하려면 &SolarisDvd나 Solaris Software - 1 CD에서 WAN 부트 서버로 미니루트를 복사해야 합니다. setup_install_server 명령에 - w 옵션을 사용하여 WAN 부트 미니루트를 Solaris 소프트웨어 매체에서 사용자 시스템 하드 디스크로 복사합니다.

SPARC: WAN 부트 미니루트 만들기

이 절차를 통해 SPARC 매체를 사용하여 SPARC WAN 부트 미니루트를 만듭니다. x86 기반 서버에서 SPARC WAN 부트 미니루트를 제공하려면 SPARC 시스템에 미니루트를 만들어야 합니다. 미니루트를 만든 다음 해당 미니루트를 x86 기반 서버의 문서 루트 디렉토리로 복사합니다.

시작하기 전에

이 절차에서는 WAN 부트 서버에 볼륨 관리자가 실행 중인 것으로 가정합니다. 볼륨 관리자를 사용하지 않을 경우 System Administration Guide: Devices and File Systems 를 참조하십시오.

1. WAN 부트 서버에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

   시스템은 다음 요구 사항을 충족해야 합니다.

   • CD-ROM이나 DVD-ROM 드라이브가 있어야 합니다.

   • 사이트의 네트워크 및 이름 지정 서비스의 일부여야 합니다.

     이름 지정 서비스를 사용한다면 시스템이 이미 NIS, NIS+, DNS 또는 LDAP와 같은 이름 지정 서비스에 속해 있어야 합니다. 이름 지정 서비스를 사용하지 않는다면 사용자 사이트의 정책에 따라 이 시스템에 관한 정보를 배포해야 합니다.

2. Solaris Software - 1 CD나 Solaris DVD를 설치 서버의 드라이브에 삽입합니다.

3. WAN 부트 미니루트와 Solaris 설치 이미지의 디렉토리를 만듭니다.

   # mkdir -p wan-dir-path install-dir-path

   -p

   mkdir 명령을 사용하여 사용자가 만들 디렉토리에 필요한 모든 부모 디렉토리를 만듭니다.

   wan-dir-path

   설치 서버에 WAN 부트 미니루트를 만들 디렉토리를 지정합니다. 이 디렉토리는 일반적으로 250MB 크기를 가진 미니루트를 수용해야 합니다.

   install-dir-path

   Solaris 소프트웨어 이미지를 복사할 설치 서버의 디렉토리를 지정합니다. 이 디렉토리는 해당 절차의 뒷 부분에서 제거할 수 있습니다.

4. 마운트된 디스크의 Tools 디렉토리로 변경합니다.

   # cd /cdrom/cdrom0/Solaris_10/Tools

   앞의 예에서 cdrom0은 Solaris OS 매체가 있는 드라이브의 경로입니다.

5. WAN 부트 미니루트와 Solaris 소프트웨어 이미지를 WAN 부트 서버의 하드 디스크로 복사합니다.

   # ./setup_install_server -w wan-dir-path install-dir-path

   wan-dir-path

   WAN 부트 미니루트를 복사할 디렉토리를 지정합니다.

   install-dir-path

   Solaris 소프트웨어 이미지를 복사할 디렉토리를 지정합니다.

   ---

   주 –

   setup_install_server 명령은 Solaris 9 소프트웨어 디스크 이미지에 사용할 수 있는 충분한 디스크 공간이 있는지 여부를 나타냅니다. 사용 가능한 디스크 공간을 확인하려면 df -kl 명령을 사용합니다.

   ---

   setup_install_server -w 명령을 사용하여 WAN 부트 미니루트와 Solaris 소프트웨어의 네트워크 설치 이미지를 만듭니다.

6. (옵션) 네트워크 설치 이미지를 제거합니다.

   Solaris Flash 아카이브를 사용하여 WAN을 설치하는 경우 Solaris 소프트웨어 이미지가 필요하지 않습니다. 다른 네트워크 설치에 네트워크 설치 이미지를 사용할 계획이 아닌 경우에는 디스크 여유 공간을 확보할 수 있습니다. 다음 명령을 입력하여 네트워크 설치 이미지를 제거합니다.

   # rm -rf install-dir-path

7. 다음 중 한 가지 방법을 사용하여 WAN 부트 서버에서 WAN 부트 미니루트를 사용할 수 있도록 합니다.

   • WAN 부트 서버의 문서 루트 디렉토리에 WAN 부트 미니루트에 대한 심볼릭 링크를 만듭니다.

     # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .

     document-root-directory/miniroot

     WAN 부트 미니루트에 연결할 WAN 부트 서버 문서 루트 디렉토리의 디렉토리를 지정합니다.

     /wan-dir-path/miniroot

     WAN 부트 미니루트에 대한 경로를 지정합니다.

   • WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리로 이동합니다.

     # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name

     wan-dir-path/miniroot

     WAN 부트 미니루트에 대한 경로를 지정합니다.

     /document-root-directory/miniroot/

     WAN 부트 서버 문서 루트 디렉토리의 WAN 부트 미니루트 디렉토리에 대한 경로를 지정합니다.

     miniroot-name

     WAN 부트 미니루트의 이름을 지정합니다. miniroot.s10_sparc와 같이 알기 쉬운 이름을 파일에 지정합니다.

예 12–1 WAN 부트 미니루트 만들기

setup_install_server(1M)을 -w 옵션과 함께 사용하여 WAN 부트 미니루트와 Solaris 소프트웨어 이미지를 wanserver-1의 /export/install/Solaris_10 디렉토리로 복사합니다.

wanserver-1에 연결된 매체 드라이브에 Solaris Software 매체를 넣습니다. 다음 명령을 입력합니다.

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리(/opt/apache/htdocs/)로 이동합니다. 이 예에서 WAN 부트 미니루트의 이름은 miniroot.s10_sparc로 설정했습니다.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

WAN 부트 설치 계속

WAN 부트 미니루트를 만든 후, 클라이언트 OBP(OpenBoot PROM)이 WAN 부트를 지원하는지 확인합니다. 자세한 내용은 클라이언트에서 WAN 부트 지원 확인을 참조하십시오.

참조

setup_install_server 명령에 대한 자세한 내용은 install_scripts(1M)을 참조하십시오.

클라이언트에서 WAN 부트 지원 확인

무인 WAN 부트 설치를 수행하려면 클라이언트 시스템의 OpenBoot PROM(OBP)가 반드시 WAN 부트를 지원해야 합니다. 클라이언트의 OBP가 WAN 부트를 지원하지 않는 경우 로컬 CD에 있는 필요한 프로그램을 제공하여 WAN 부트 설치를 수행할 수 있습니다.

클라이언트의 OBP 구성 변수를 확인하여 클라이언트가 WAN 부트를 지원하는지 판단할 수 있습니다. 다음 절차를 수행하여 클라이언트가 WAN 부트를 지원하는지 확인합니다.

WAN 부트 지원을 위한 클라이언트 OBP 확인

이 절차에서는 클라이언트 OBP가 WAN 부트를 지원하는지 확인하는 방법에 대하여 설명합니다.

1. 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

2. WAN 부트 지원을 위한 OBP 구성 변수를 검사합니다.

   # eeprom | grep network-boot-arguments

   • 변수 network-boot-arguments가 표시되거나 이전 명령이 출력 network-boot-arguments: data not available을 반환하는 경우 OBP는 WAN 부트 설치를 지원합니다. WAN 부트 설치를 수행하기 전에 OBP를 업데이트할 필요가 없습니다.

   • 이전 명령이 출력을 전혀 반환하지 않는 경우 OBP는 WAN 부트 설치를 지원하지 않습니다. 다음 작업 중 하나를 수행해야 합니다.

     • 클라이언트 OBP를 업데이트합니다. WAN 부트 설치를 지원할 수 있는 OBP가 없는 클라이언트의 경우 시스템 설명서에서 OBP를 업데이트 방법에 대한 정보를 참조하십시오.

       ---

       주 –

       모든 클라이언트 OBP가 WAN 부트를 지원하는 것은 아닙니다. WAN 부트를 지원하지 않는 클라이언트의 경우에는 다음 옵션을 사용하십시오.

       ---

     • 준비 작업을 완료한 후에 클라이언트를 설치할 준비가 되면 Solaris Software CD1 또는 DVD에서 WAN 부트 설치를 수행합니다. 이 옵션은 현재 OBP가 WAN 부트 지원을 제공하지 않는 모든 경우에 사용할 수 있습니다.

       CD1에서 클라이언트를 부트하는 방법에 대한 자세한 내용은 로컬 CD 매체를 사용하여 WAN 부트 설치 수행을 참조하십시오. WAN 부트 설치 준비를 계속하려면 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

예 12–2 클라이언트에서 WAN 부트에 대한 OBP 지원 확인

다음 명령은 클라이언트 OBP에서 WAN 부트 지원을 확인하는 방법을 보여 줍니다.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

이 예에서 network-boot-arguments: data not available 출력은 OBP에서 WAN 부트를 지원함을 나타냅니다.

WAN 부트 설치 계속

클라이언트 OBP가 WAN 부트를 지원함을 확인한 후 반드시 wanboot 프로그램을 WAN 부트 서버로 복사해야 합니다. 방법은 WAN 부트 서버에 wanboot 프로그램 설치를 참조하십시오.

OBP가 WAN 부트를 지원하지 않는 경우 wanboot 프로그램을 WAN 부트 서버로 복사할 필요가 없습니다. 반드시 로컬 CD에 있는 wanboot 프로그램을 클라이언트에 제공해야 합니다. 설치를 계속하려면 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

참조

setup_install_server 명령에 대한 자세한 내용은 4 장네트워크에서 설치(개요)를 참조하십시오.

WAN 부트 서버에 wanboot 프로그램 설치

WAN 부트는 특수한 두 번째 수준 부트 프로그램(wanboot)을 사용하여 클라이언트를 설치합니다. wanboot 프로그램은 WAN 부트 설치를 수행에 필요한 WAN 부트 미니루트, 클라이언트 구성 파일 및 설치 파일을 로드합니다.

WAN 부트를 설치하려면 설치 도중 클라이언트에게 wanboot 프로그램을 제공해야 합니다. 다음 방법으로 클라이언트에게 이 프로그램을 제공할 수 있습니다.

• 클라이언트의 PROM에서 WAN 부트을 지원하는 경우 WAN 부트 서버로부터 클라이언트로 해당 프로그램을 전송할 수 있습니다. 반드시 WAN 부트 서버에 wanboot 프로그램을 설치합니다.

  클라이언트의 PROM이 WAN 부트를 지원하는지 확인하려면 WAN 부트 지원을 위한 클라이언트 OBP 확인을 참조하십시오.

• 클라이언트의 PROM에서 WAN 부트를 지원하지 않는 경우 로컬 CD를 통해 클라이언트에게 해당 프로그램을 제공해야 합니다. 클라이언트의 PROM이 WAN 부트를 지원하지 않는 경우 WAN 부트 서버에 /etc/netboot 계층 만들기로 이동하여 설치 준비를 계속합니다.

SPARC: WAN 부트 서버에 wanboot 프로그램 설치

이 절차에서는 Solaris 매체에서 WAN 부트 서버로 wanboot 프로그램을 복사하는 방법에 대하여 설명합니다.

이 절차에서는 WAN 부트 서버에 볼륨 관리자가 실행 중인 것으로 가정합니다. 볼륨 관리자를 사용하지 않을 경우 System Administration Guide: Devices and File Systems 를 참조하십시오.

시작하기 전에

클라이언트 시스템이 WAN 부트를 지원하는지 확인: 자세한 내용은 WAN 부트 지원을 위한 클라이언트 OBP 확인을 참조하십시오.

1. 설치 서버에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

2. Solaris Software - 1 CD나 Solaris DVD를 설치 서버의 드라이브에 삽입합니다.

3. Solaris Software - 1 CD나 Solaris DVD에서 다음 sun4u 플랫폼 디렉토리로 변경합니다.

   # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/

4. wanboot 프로그램을 설치 서버로 복사합니다.

   # cp wanboot /document-root-directory/wanboot/wanboot-name

   document-root-directory

   WAN 부트 서버의 문서 루트 디렉토리를 지정합니다.

   wanboot-name

   wanboot 프로그램의 이름을 지정합니다. wanboot.s10_sparc와 같이 알기 쉬운 이름을 파일에 지정합니다.

5. 다음 중 한 가지 방법을 사용하여 WAN 부트 서버에서 wanboot 프로그램을 사용할 수 있도록 합니다.

   • WAN 부트 서버의 문서 루트 디렉토리에 있는 wanboot 프로그램에 대한 심볼릭 링크를 만듭니다.

     # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .

     document-root-directory/wanboot

     wanboot 프로그램에 연결할 WAN 부트 서버 문서 루트 디렉토리의 디렉토리를 지정합니다.

     /wan-dir-path/wanboot

     wanboot 프로그램에 대한 경로를 지정합니다.

   • WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리로 이동합니다.

     # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name

     wan-dir-path/wanboot

     wanboot 프로그램에 대한 경로를 지정합니다.

     /document-root-directory/wanboot/

     WAN 부트 서버의 문서 루트 디렉토리에 있는 wanboot 프로그램 디렉토리에 대한 경로를 지정합니다.

     wanboot-name

     wanboot 프로그램의 이름을 지정합니다. wanboot.s10_sparc와 같이 알기 쉬운 이름을 파일에 지정합니다.

예 12–3 WAN 부트 서버에 wanboot 프로그램 설치

WAN 부트 서버에 wanboot 프로그램을 설치하려면 Solaris Software 매체에서 WAN 부트 서버의 문서 루트 디렉토리로 프로그램을 복사합니다.

wanserver-1에 연결된 매체 드라이브에 Solaris DVD 또는 Solaris Software - 1 CD를 넣고 다음 명령을 입력합니다.

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

이 예에서 wanboot 프로그램의 이름은 wanboot.s10_sparc로 설정했습니다.

WAN 부트 설치 계속

WAN 부트 서버에 wanboot 프로그램을 설치한 후 반드시 WAN 부트 서버에 /etc/netboot 계층을 만들어야 합니다. 방법은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

참조

wanboot 프로그램에 대한 개요는 WAN 부트란?을 참조하십시오.

WAN 부트 서버에 /etc/netboot 계층 만들기

설치 도중 WAN 부트에서는 설치를 수행하는 방법의 지침에 대해 웹 서버의 /etc/netboot 계층 내용을 참조합니다. 이 디렉토리에는 WAN 부트 설치에 필요한 구성 정보, 개인 키, 디지털 인증서 및 인증 기관이 포함됩니다. 설치하는 동안 wanboot-cgi 프로그램에서는 이 정보를 WAN 부트 파일 시스템으로 변환합니다. 그런 다음 wanboot-cgi 프로그램은 WAN 부트 파일 시스템을 해당 클라이언트로 전송합니다.

/etc/netboot 디렉토리에 하위 디렉토리를 만들어 WAN 설치 범위를 사용자 정의할 수 있습니다. 다음 디렉토리 구조를 사용하여 설치하려는 클라이언트 간 구성 정보 공유 방법을 정의합니다.

• 전역 구성 – 네트워크 상의 모든 클라이언트가 구성 정보를 공유하게 하려면 공유할 파일을 /etc/netboot 디렉토리에 저장합니다.

• 네트워크별 구성 – 특정 서브넷의 시스템에서만 구성 정보를 공유하려면 공유할 구성 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.

  /etc/netboot/net-ip

  이 예에서 net-ip는 클라이언트 서브넷의 IP 주소입니다.

• 클라이언트별 구성 – 특정 클라이언트만 부트 파일 시스템을 사용하도록 하려면 부트 파일 시스템 파일을 /etc/netboot의 하위 디렉토리에 저장합니다. 하위 디렉토리는 이 이름 지정 규칙을 따라야 합니다.

  /etc/netboot/net-ip/client-ID

  이 예에서 net-ip는 서브넷의 IP 주소입니다. client-ID는 DHCP 서버에서 할당한 클라이언트 ID이거나 사용자별 클라이언트 ID입니다.

이들 구성에 대한 자세한 계획 정보는 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.

다음 절차에서는 /etc/netboot 계층을 만드는 방법에 대하여 설명합니다.

WAN 부트 서버에 /etc/netboot 계층 만들기

/etc/netboot 계층을 만들려면 다음과 같이 합니다.

1. WAN 부트 서버에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

2. /etc/netboot 디렉토리를 만듭니다.

   # mkdir /etc/netboot

3. /etc/netboot 디렉토리의 사용 권한을 700으로 변경합니다.

   # chmod 700 /etc/netboot

4. /etc/netboot 디렉토리의 소유자를 웹 서버 소유자로 변경합니다.

   # chown web-server-user:web-server-group /etc/netboot/

   web-server-user

   웹 서버 프로세스의 사용자 소유자를 지정합니다.

   web-server-group

   웹 서버 프로세스의 그룹 소유자를 지정합니다.

5. 수퍼유저 역할을 종료합니다.

   # exit

6. 웹 서버 소유자의 사용자 역할로 전환합니다.

7. /etc/netboot 디렉토리의 클라이언트 하위 디렉토리를 만듭니다.

   # mkdir -p /etc/netboot/net-ip/client-ID

   -p

   mkdir 명령을 사용하여 사용자가 만들 디렉토리에 필요한 모든 부모 디렉토리를 만듭니다.

   (선택 사항) net-ip

   클라이언트 서브넷의 네트워크 IP 주소를 지정합니다.

   (선택 사항) client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 값이거나 DHCP 클라이언트 ID입니다. client-ID 디렉토리는 net-ip 디렉토리의 하위 디렉토리여야 합니다.

8. /etc/netboot 계층의 각 디렉토리에 대해 사용 권한을 700으로 변경합니다.

   # chmod 700 /etc/netboot/dir-name

   dir-name

   /etc/netboot 계층에서 디렉토리의 이름을 지정합니다.

예 12–4 WAN 부트 서버에 /etc/netboot 계층 만들기

다음 예는 서브넷 192.168.198.0에서 클라이언트 010003BA152A42에 대한 /etc/netboot 계층을 만드는 방법을 보여줍니다. 이 예에서는 사용자 nobody와 그룹 admin이 웹 서버 프로세스를 소유합니다.

이 예의 명령은 다음 작업을 수행합니다.

• /etc/netboot 디렉토리를 만듭니다.

• /etc/netboot 디렉토리의 권한을 700으로 변경합니다.

• /etc/netboot 디렉토리의 소유자를 웹 서버 프로세스의 소유자로 변경합니다.

• 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

• 서브넷(192.168.198.0) 이름을 따라 /etc/netboot의 하위 디렉토리를 만듭니다.

• 클라이언트 ID 이름을 따라 서브넷 디렉토리의 하위 디렉토리를 만듭니다.

• /etc/netboot 하위 디렉토리의 권한을 700으로 변경합니다.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

WAN 부트 설치 계속

/etc/netboot 계층을 만든 후 반드시 WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사해야 합니다. 방법은 WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사를 참조하십시오.

참조

/etc/netboot 계층을 디자인하는 방법에 대한 자세한 계획 내용은 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.

WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사

wanboot-cgi 프로그램은 다음 파일을 WAN 부트 서버에서 클라이언트로 전송하는 데이터 스트림을 만듭니다.

• wanboot 프로그램

• WAN 부트 파일 시스템

• WAN 부트 미니루트

wanboot-cgi이 현재 Solaris 릴리스 소프트웨어를 설치하는 시스템에 설치되었습니다. WAN 부트 서버에서 이 프로그램을 사용할 수 있도록 하려면 이 프로그램을 WAN 부트 서버의 cgi-bin 디렉토리로 복사합니다.

wanboot-cgi 프로그램을 WAN 부트 서버로 복사

1. WAN 부트 서버에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

2. WAN 부트 서버에 wanboot-cgi 프로그램을 복사합니다.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi

   /WAN-server-root

   WAN 부트 서버에 있는 웹 서버 소프트웨어의 루트 디렉토리를 지정합니다.

3. WAN 부트 서버에서 CGI 프로그램의 권한을 755로 변경합니다.

   # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

WAN 부트 설치 계속

WAN 부트 CGI 프로그램을 WAN 부트 서버에 복사한 후, 원하는 경우 로깅 서버를 설정할 수 있습니다. 자세한 내용은 (선택 사항) WAN 부트 로깅 서버 구성을 참조하십시오.

별도의 로깅 서버를 설정하지 않으려는 경우 WAN 부트 설치에서 보안 기능을 설정하는 방법에 대한 자세한 내용은 (선택 사항) HTTPS를 사용하여 데이터 보호를 참조하십시오.

참조

wanboot-cgi 프로그램에 대한 개요는 WAN 부트란?을 참조하십시오.

(선택 사항) WAN 부트 로깅 서버 구성

기본적으로 모든 WAN 부트 로깅 메시지가 클라이언트 시스템에 표시됩니다. 이러한 기본 작동으로 설치 문제를 빠르게 디버그할 수 있습니다.

클라이언트 이외의 시스템에 부트 및 설치 로깅 메시지를 기록하려면 로깅 서버를 설정해야 합니다. 설치하는 동안 HTTPS로 로깅 서버를 사용하려면 WAN 부트 서버를 로깅 서버로 구성해야 합니다.

로깅 서버를 구성하려면 다음 단계를 수행합니다.

1. bootlog-cgi 스크립트를 로깅 서버의 CGI 스크립트 디렉토리로 복사합니다.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin

   log-server-root/cgi-bin

   로깅 서버 웹 서버 디렉토리의 cgi-bin 디렉토리를 지정합니다.

2. bootlog-cgi 스크립트의 권한을 755로 변경합니다.

   # chmod 755 log-server-root/cgi-bin/bootlog-cgi

3. wanboot.conf 파일의 boot_logger 매개 변수 값을 설정합니다.

   로깅 서버에 있는 bootlog-cgi 스크립트의 URL을 wanboot.conf 파일에 지정합니다.

   wanboot.conf 파일에서 매개 변수를 설정하는 방법은 wanboot.conf 파일 만들기를 참조하십시오.

   설치하는 동안 부트 및 설치 로그 메시지가 로깅 서버의 /tmp 디렉토리에 기록됩니다. 로그 파일의 이름은 bootlog.hostname입니다. 여기서 hostname은 클라이언트의 호스트 이름입니다.

예 12–5 HTTPS를 통한 WAN 부트 설치를 위한 로깅 서버 구성

다음 예에서는 WAN 부트 서버를 로깅 서버로 구성합니다.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

WAN 부트 설치 계속

로깅 서버를 설정한 후, 원하는 경우 WAN 부트 설치가 디지털 인증서와 보안 키를 사용하도록 설정할 수 있습니다. WAN 부트 설치의 보안 기능 설정 방법은 (선택 사항) HTTPS를 사용하여 데이터 보호를 참조하십시오.

(선택 사항) HTTPS를 사용하여 데이터 보호

WAN 부트 서버에서 클라이언트로 전송하는 동안 데이터를 보호하기 위해 Secure Sockets Layer (HTTPS)를 통한 HTTP를 사용할 수 있습니다. 보안 WAN 부트 설치 구성에서 설명하는 보안이 강화된 설치 구성을 사용하려면 웹 서버가 HTPPS를 사용하도록 설정해야 합니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 부분의 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

WAN 부트 서버의 웹 서버 소프트웨어에서 HTTPS를 사용하게 하려면 다음 작업을 수행해야 합니다.

• 웹 서버 소프트웨어에서 SSL (Secure Sockets Layer) 지원을 활성화합니다.

  SSL 지원 및 클라이언트 인증 활성화 프로세스는 웹 서버에 따라 달라집니다. 이 문서에서는 사용자 웹 서버에서 이러한 보안 기능을 활성화하는 방법에 대해 설명하지 않습니다. 이러한 기능에 대한 자세한 내용은 다음 설명서를 참조하십시오.

  • SunONE 및 iPlanet 웹 서버에서 SSL을 활성화하는 방법에 대한 자세한 내용은 http://docs.sun.com에 있는 SunONE 및 iPlanet 설명서 모음을 참조하십시오.

  • Apache 웹 서버에서 SSL을 활성화하는 방법에 대한 자세한 내용은 http://httpd.apache.org/docs-project/의 Apache Document Project를 참조하십시오.

  • 위의 목록에 나열되어 있지 않은 웹 서버 소프트웨어를 사용하고 있는 경우 해당 웹 서버 소프트웨어 설명서를 참조하십시오.

• WAN 부트 서버에 디지털 인증서를 설치합니다.

  WAN 부트에서 디지털 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

• 클라이언트에 신뢰된 인증서를 제공합니다.

  신뢰된 인증서를 만드는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

• 해싱 키와 암호 키를 만듭니다.

  키를 만드는 방법에 대한 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

• (선택 사항) 웹 서버 소프트웨어를 구성하여 클라이언트 인증을 지원합니다.

  클라이언트 인증을 지원하도록 웹 서버를 구성하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

이 부분에서는 WAN 부트 설치에서 디지털 인증서와 키를 만드는 방법에 대하여 설명합니다.

(선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용

WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항과 지침은 디지털 인증서 요구 사항을 참조하십시오.

WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.

• PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.

• /etc/netboot 계층에서 클라이언트의 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.

• (선택 사항) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.

wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

신뢰된 인증서와 클라이언트 개인 키를 만들려면 다음과 같이 합니다.

시작하기 전에

PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.

• /etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.

• /etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

   -i p12cert

   분할할 PKCS#12 파일의 이름을 지정합니다.

   -t /etc/netboot/net-ip /client-ID/truststore

   클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

3. (옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.

   • 필요하지 않으면 (선택 사항) 해싱 키 및 암호 키 만들기로 이동합니다.

   • 필요하면 다음 단계를 계속합니다.

     1. 클라이언트의 certstore에 클라이언트 인증서를 삽입합니다.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

        -i p12cert

        분할할 PKCS#12 파일의 이름을 지정합니다.

        -c /etc/netboot/net-ip/ client-ID/certstore

        클라이언트의 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

        -k keyfile

        분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.

     2. 클라이언트의 keystore에 개인 키를 삽입합니다.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        SSL 개인 키를 클라이언트의 keystore에 삽입합니다.

        -k keyfile

        이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.

        -s /etc/netboot/net-ip/ client-ID/keystore

        클라이언트 keystore에 대한 경로를 지정합니다.

        -o type=rsa

        키 유형을 RSA로 지정합니다.

예 12–6 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기

다음 예에서 PKCS#12 파일을 사용하여 서브넷 192.168.198.0에 클라이언트 010003BA152A42를 설치합니다. 이 명령 샘플은 이름이 client.p12인 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

WAN 부트 설치 계속

디지털 인증서를 만든 후 해싱 키와 암호 키를 만듭니다. 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

참조

신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.

(선택 사항) 해싱 키 및 암호 키 만들기

HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다.

wanbootutil keygen 명령을 사용하여 해당 키를 생성하고 이러한 키를 해당 /etc/netboot 디렉토리에 저장할 수 있습니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

해싱 키와 암호 키를 만들려면 다음과 같이 합니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 마스터 HMAC SHA1 키를 만듭니다.

   # wanbootutil keygen -m

   keygen -m

   WAN 부트 서버용 마스터 HMAC SHA1 키를 만듭니다.

3. 해당 마스터 키에서 클라이언트의 HMAC SHA1 해싱 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (선택 사항) net=net-ip

   클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

   (선택 사항) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=sha1

   wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.

4. 클라이언트에 대해 암호 키를 만들어야 할지 여부를 결정합니다.

   HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.

   • 서버 인증을 사용하여 HTTPS를 통한 보다 안전한 WAN 설치를 수행하고 있다면 계속하십시오.

   • wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 단계 6로 이동합니다.

5. 클라이언트에 대한 암호 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   클라이언트의 암호 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (선택 사항) net=net-ip

   클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

   (선택 사항) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자가 정의한 ID이거나 DHCP 클라이언트 ID입니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=key-type

   wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type은 3des 또는 aes 값일 수 있습니다.

6. 클라이언트 시스템에 키를 설치합니다.

   클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

예 12–7 HTTPS를 통한 WAN 부트 설치 시 필요한 키 만들기

다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 이 예에서는 또한 서브넷 192.168.198.0에서 클라이언트 010003BA152A42에 대한 HMAC SHA1 해싱 키 및 3DES 암호 키를 만듭니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

WAN 부트 설치 계속

해싱 키 및 암호 키를 만든 후 설치 파일을 만들어야 합니다. 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

참조

해싱 키와 암호 키에 대한 개요 정보는 WAN 부트 설치 시 데이터 보호 를 참조하십시오.

해싱 키 및 암호 키를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.

사용자 정의 JumpStart 설치 파일 만들기

WAN 부트는 사용자 정의 JumpStart 설치를 수행하여 클라이언트에 Solaris Flash 아카이브를 설치합니다. 사용자 정의 JumpStart 설치 방법은 사용자가 만든 프로필을 바탕으로 여러 대의 시스템을 자동으로 설치할 수 있게 하는 명령줄 인터페이스입니다. 이 프로필은 구체적인 소프트웨어 설치 요건을 정의합니다. 쉘 스크립트를 통합하여 설치 이전 및 이후 작업을 포함시킬 수 있습니다. 설치나 업그레이드를 위해 어떤 프로필과 스크립트를 사용할 것인지 선택합니다. 사용자 정의 JumpStart 설치 방법은 선택한 프로필 및 스크립트를 기준으로 시스템을 설치 또는 업그레이드합니다. 또한 sysidcfg 파일을 사용하여 사용자 정의 JumpStart 설치가 완전 무인으로 완벽하게 설치될 수 있도록 구성 정보를 지정할 수 있습니다.

WAN 부트 설치를 위해 사용자 정의 JumpStart 파일을 준비하려면 다음 작업을 완료합니다.

• Solaris Flash 아카이브 만들기

• sysidcfg 파일 만들기

• rules 파일 만들기

• 프로필 만들기

• (선택 사항) 시작 및 종료 스크립트 만들기

사용자 정의 JumpStart 설치 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 2 장, 사용자 정의 JumpStart(개요)를 참조하십시오.

Solaris Flash 아카이브 만들기

Solaris Flash 설치 기능을 사용하면 마스터 시스템이라고 하는 시스템의 Solaris OS에 대한 단일 참조 설치를 만들 수 있습니다. 그런 다음 마스터 시스템의 복제본 이미지인 Solaris Flash 아카이브를 만들 수 있습니다. 네트워크의 다른 시스템에 Solaris Flash 아카이브를 설치하여 복제 시스템을 만들 수 있습니다.

이 절에서는 Solaris Flash 아카이브를 만드는 방법에 대하여 설명합니다.

시작하기 전에

• Solaris Flash 아카이브를 만들려면 먼저 마스터 시스템을 설치해야 합니다.

  • 마스터 시스템 설치에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 마스터 시스템 설치를 참조하십시오.

  • Solaris Flash 아카이브에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 1 장, Solaris Flash(개요)를 참조하십시오.

• 파일 크기 문제:

  소프트웨어가 Solaris Flash 아카이브 크기의 파일을 전송할 수 있는지 확인하려면 웹 서버 소프트웨어 설명서를 참조하십시오.

  • 소프트웨어가 Solaris Flash 아카이브 크기의 파일을 전송할 수 있는지 확인하려면 웹 서버 소프트웨어 설명서를 참조하십시오.

  • flarcreate 명령은 개별 파일에 대해 더 이상 크기 제한을 두지 않습니다. 4GB가 넘는 개별 파일을 포함하는 Solaris Flash 아카이브를 만들 수 있습니다.

    자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 대형 파일을 포함하는 아카이브 만들기를·참조하십시오.

1. 마스터 시스템을 부트합니다.

   마스터 시스템을 가능한 한 비활성 상태로 실행합니다. 가능한 경우에는 시스템을 단일 사용자 모드로 실행합니다. 가능하지 않은 경우에는 아카이브할 모든 응용 프로그램과 운영 체체 리소스가 많이 필요한 모든 응용 프로그램을 종료합니다.

2. 아카이브를 만들려면 flarcreate 명령을 사용합니다.

   # flarcreate -n name [optional-parameters] document-root/flash/filename

   name

   아카이브의 이름입니다. 지정한 name은 content_name 키워드의 값입니다.

   optional-parameters

   flarcreate 명령에 대한 몇 가지 옵션을 사용하여 Solaris Flash 아카이브를 사용자 정의할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 6 장, Solaris Flash(참조)를 참조하십시오.

   document-root/flash

   설치 서버 문서 루트 디렉토리의 Solaris Flash 하위 디렉토리에 대한 경로입니다.

   filename

   아카이브 파일의 이름입니다.

   디스크 공간을 확보하려면 flarcreate 명령에 -c 옵션을 사용하여 아카이브를 압축할 수 있습니다. 하지만 압축된 아카이브는 WAN 부트 설치 시 성능에 영향을 미칠 수 있습니다. 압축된 아카이브 만들기에 대한 자세한 내용은 flarcreate(1M) 매뉴얼 페이즈를 참조하십시오.

   • 아카이브를 성공적으로 만들면 flarcreate 명령이 종료 코드 0을 반환합니다.

   • 아카이브를 만들지 못하면 flarcreate 명령이 0이 아닌 종료 코드를 반환합니다.

예 12–8 WAN 부트 설치용 Solaris Flash 아카이브 만들기

이 예에서 호스트 이름이 wanserver인 WAN 부트 서버 시스템을 복제하여 Solaris Flash 아카이브를 만듭니다. 아카이브의 이름은 sol_10_sparc이며 마스터 시스템에서 정확히 복사됩니다. 아카이브는 마스터 시스템의 정확한 복제본입니다. 아카이브는 sol_10_sparc.flar에 저장됩니다. 아카이브를 WAN 부트 서버에 있는 문서 루트 디렉토리의 flash/archives 하위 디렉토리에 저장합니다.

wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

WAN 부트 설치 계속

Solaris Flash 아카이브를 만든 후 sysidcfg 파일에서 클라이언트 정보를 미리 구성합니다. 방법은 sysidcfg 파일 만들기를 참조하십시오.

참조

Solaris Flash 아카이브를 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: Solaris Flash 아카이브(작성 및 설치)의 3 장, Solaris Flash 아카이브 만들기(작업)를 참조하십시오.

flarcreate 명령에 대한 자세한 내용은 flarcreate(1M) 매뉴얼 페이지를 참조하십시오.

sysidcfg 파일 만들기

sysidcfg 파일에서 일련의 키워드를 지정하여 시스템을 미리 구성할 수 있습니다.

sysidcfg 파일을 만들려면 다음과 같이 합니다.

시작하기 전에

Solaris Flash 아카이브를 만듭니다. 자세한 방법은 Solaris Flash 아카이브 만들기를 참조하십시오.

1. 텍스트 편집기에서 해당 설치 서버에 sysidcfg라는 파일을 만듭니다.

2. 원하는 sysidcfg 키워드를 입력합니다.

   sysidcfg 키워드에 대한 자세한 내용은 sysidcfg 파일 키워드 를 참조하십시오.

3. WAN 부트 서버에서 액세스할 수 있는 위치에 sysidcfg 파일을 저장합니다.

   다음 중 한 곳에 파일을 저장합니다.

   • WAN 부트 서버와 설치 서버가 같은 시스템에서 호스트되는 경우 WAN 부트 서버에 있는 문서 루트 디렉토리의 flash 하위 디렉토리에 이 파일을 저장합니다.

   • WAN 부트 서버와 설치 서버가 서로 다른 시스템에 있는 경우 이 파일을 설치 서버 문서 루트 디렉토리의 flash 하위 디렉토리에 저장합니다.

예 12–9 WAN 부트 설치를 위한 sysidcfg 파일

다음은 SPARC 기반 시스템용 sysidcfg 파일의 예입니다. 이 시스템의 호스트 이름, IP 주소 및 넷마스크는 이름 지정 서비스를 편집하여 미리 구성되었습니다.

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

WAN 부트 설치 계속

sysidcfg 파일을 만든 후 클라이언트용 사용자 정의 JumpStart 프로필을 만듭니다. 자세한 내용은 프로필 만들기를 참조하십시오.

참조

sysidcfg 키워드와 값에 대한 자세한 내용은 sysidcfg 파일를 사용하여 미리 구성을 참조하십시오.

프로필 만들기

프로필은 사용자 정의 JumpStart에게 시스템에 Solaris 소프트웨어를 설치하는 방법을 지시하는 텍스트 파일입니다. 프로필은 설치의 요소, 예를 들어, 설치할 소프트웨어 그룹을 정의합니다.

프로필을 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 프로필 작성을 참조하십시오.

프로필을 만들려면 다음과 같이 합니다.

시작하기 전에

클라이언트용 sysidcfg 파일을 만듭니다. 자세한 방법은 sysidcfg 파일 만들기를 참조하십시오.

1. 설치 서버에 텍스트 파일을 만듭니다. 파일의 이름을 자세하게 지정합니다.

   프로필 이름에 프로필을 사용하여 시스템에 Solaris 소프트웨어를 설치하려는 방법이 반영되어 있는지 확인합니다. 예를 들어, 프로필을 basic_install, eng_profile 또는 user_profile로 이름 지정할 수 있습니다.

2. 프로필 키워드와 값을 프로필에 추가합니다.

   프로필 키워드 및 값 목록은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 프로필 키워드 및 값을·참조하십시오.

   프로필 키워드와 해당 값은 대소문자를 구분합니다.

3. WAN 부트 서버로 액세스할 수 있는 위치에 프로필을 저장합니다.

   다음 중 한 곳에 프로필을 저장합니다.

   • WAN 부트 서버와 설치 서버가 같은 시스템에서 호스트되는 경우 WAN 부트 서버에 있는 문서 루트 디렉토리의 flash 하위 디렉토리에 이 파일을 저장합니다.

   • WAN 부트 서버와 설치 서버가 같은 시스템에 있지 않는 경우 설치 서버에 있는 문서 루트 디렉토리의 flash 하위 디렉토리에 이 파일을 저장합니다.

4. root가 프로필을 소유하고 권한이 644로 설정되도록 합니다.

5. (선택 사항) 프로필을 테스트합니다.

   Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 프로필 테스트에는 프로필 테스트에 대한 정보가 포함되어 있습니다.

예 12–10 보안 HTTP 서버에서 Solaris Flash 아카이브 검색

다음 예에서 프로필은 사용자 정의 JumpStart 프로그램이 보안 HTTP 서버에서 Solaris Flash 아카이브를 검색한다는 것을 나타냅니다.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

다음 목록에서는 이 예의 일부 키워드와 값에 대해 설명합니다.

install_type

프로필이 복제 시스템에서 Solaris Flash 아카이브를 설치합니다. 초기 설치와 마찬가지로 모든 파일을 덮어씁니다.

archive_location

압축된 Solaris Flash 아카이브를 보안 HTTP 서버에서 불러왔습니다.

partitioning

파일 시스템 슬라이스는 filesys 키워드, 값 explicit에 의해 결정됩니다. 루트(/)의 크기는 Solaris Flash 아카이브의 크기를 기준으로 합니다. swap의 크기는 필요한 크기로 설정되고 c0t1d0s1에 설치됩니다. /export/home은 남은 디스크 공간을 기준으로 합니다. /export/home은 c0t1d0s7에 설치됩니다.

WAN 부트 설치 계속

프로필을 만든 후 rules 파일을 만들고 검증해야 합니다. 자세한 내용은 rules 파일 만들기를 참조하십시오.

참조

프로필을 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 프로필 작성을 참조하십시오.

프로필 키워드 및 값에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 프로필 키워드 및 값을 참조하십시오.

rules 파일 만들기

rules 파일은 Solaris OS를 설치하려는 각 시스템 그룹에 대한 규칙이 포함된 텍스트 파일입니다. 각 규칙은 하나 이상의 시스템 속성에 기반한 시스템 그룹을 구별합니다. 각 규칙은 또한 각 그룹을 프로필과 연결합니다. 프로필은 Solaris 소프트웨어가 그룹의 각 시스템에 설치되는 방법을 정의하는 텍스트 파일입니다. 예를 들어, 다음 규칙은 JumpStart 프로그램이 basic_prof 프로필의 정보를 사용하여 sun4u 플랫폼 그룹을 가진 모든 시스템을 설치할 것을 지정합니다.

karch sun4u - basic_prof -

rules 파일은 사용자 정의 JumpStart 설치에 필요한 rules.ok 파일을 작성하는데 사용됩니다.

rules 파일을 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 rules 파일 만들기를 참조하십시오.

rules 파일을 만들려면 다음과 같이 합니다.

시작하기 전에

클라이언트용 프로필을 만듭니다. 자세한 방법은 프로필 만들기를 참조하십시오.

1. 설치 서버에서 rules라는 텍스트 파일을 만듭니다.

2. 설치할 각 시스템 그룹의 rules 파일에 규칙을 추가합니다.

   rules 파일을 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 rules 파일 만들기를 참조하십시오.

3. 설치 서버에 rules 파일을 저장합니다.

4. rules 파일을 검증합니다.

   $ ./check -p path -r file-name

   -p path

   사용 중인 시스템에서 check 스크립트 대신 현재 Solaris 릴리스 소프트웨어 이미지의 check 스크립트를 사용하여 rules를 검증합니다. path는 로컬 디스크 또는 Solaris DVD나 Solaris Software - 1 CD에 마운트된 이미지입니다.

   시스템에 이전 버전의 Solaris OS를 실행하는 경우 이 옵션을 사용하여 최신 버전의 check를 실행합니다.

   -r file_name

   rules가 아닌 파일 이름을 지정합니다. 이 옵션을 사용하면 규칙을 rules 파일로 통합하기 전에 규칙의 유효성을 테스트할 수 있습니다.

   check 스크립트가 실행됨에 따라 스크립트는 rules 파일과 각 프로필의 유효성 검사를 보고합니다. 오류가 발견되지 않으면 스크립트는 다음을 보고합니다. The custom JumpStart configuration is ok. check 스크립트는 rules.ok 파일을 만듭니다.

5. WAN 부트 서버에서 액세스할 수 있는 위치에 rules.ok 파일을 저장합니다.

   다음 중 한 곳에 파일을 저장합니다.

   • WAN 부트 서버와 설치 서버가 같은 시스템에서 호스트되는 경우 WAN 부트 서버에 있는 문서 루트 디렉토리의 flash 하위 디렉토리에 이 파일을 저장합니다.

   • WAN 부트 서버와 설치 서버가 같은 시스템에 있지 않는 경우 설치 서버에 있는 문서 루트 디렉토리의 flash 하위 디렉토리에 이 파일을 저장합니다.

6. root가 rules.ok 파일을 소유하고 권한이 644로 설정되어야 합니다.

예 12–11 rules 파일 만들기 및 검증

사용자 정의 JumpStart 프로그램은 rules 파일을 사용하여 wanclient-1 시스템에 대한 올바른 설치 프로필을 선택합니다. rules라는 이름의 텍스트 파일을 만듭니다. 그런 다음 이 파일에 키워드와 값을 추가합니다.

클라이언트 시스템의 IP 주소는 192.168.198.210이며 넷마스크는 255.255.255.0입니다. 사용자 정의 JumpStart 프로그램이 클라이언트를 설치할 때 사용해야 하는 프로필을 지정하려면 network rule 키워드를 사용합니다.

network 192.168.198.0 - wanclient_prof - 

이 rules 파일은 사용자 정의 JumpStart 프로그램이 wanclient_prof를 사용하여 클라이언트에 현재 Solaris 릴리스 소프트웨어를 설치하도록 지시합니다.

이 규칙 파일의 이름을 wanclient_rule로 지정합니다.

프로필과 rules 파일을 만든 다음 check 스크립트를 실행하여 파일이 유효한지 검증합니다.

wanserver# ./check -r wanclient_rule

check 스크립트가 오류를 발견하지 않으면 스크립트는 rules.ok 파일을 작성합니다.

rules.ok 파일을 /opt/apache/htdocs/flash/ 디렉토리에 저장합니다.

WAN 부트 설치 계속

rules.ok 파일을 만든 후 원하는 경우 설치용 시작 및 종료 스크립트를 설정할 수 있습니다. 자세한 내용은 (선택 사항) 시작 및 종료 스크립트 만들기를 참조하십시오.

시작 및 종료 스크립트를 설정하지 않으려면 구성 파일 만들기를 참조하여 WAN 부트 설치를 계속합니다.

참조

rules 파일을 만드는 방법에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 rules 파일 만들기를 참조하십시오.

rules 파일 키워드 및 값에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 규칙 키워드 및 값을 참조하십시오.

(선택 사항) 시작 및 종료 스크립트 만들기

시작 및 종료 스크립트는 rules 파일에 지정하는 사용자 정의 Bourne 쉘 스크립트입니다. 시작 스크립트는 Solaris 소프트웨어가 시스템에 설치되기 전에 작업을 수행합니다. 종료 스크립트는 시스템에 Solaris 소프트웨어가 설치된 뒤 시스템을 재부트하기 전에 작업을 수행합니다. 이 스크립트는 오직 사용자 정의 JumpStart를 사용하여 Solaris를 설치할 때에만 사용할 수 있습니다.

시작 스크립트를 사용하여 파생된 프로필을 만들 수 있습니다. 종료 스크립트를 사용하면 파일, 패키지, 패치 또는 추가 소프트웨어 추가 등의 다양한 사후 설치 작업을 수행할 수 있습니다.

설치 서버의 sysidcfg, rules.ok 및 프로필 파일과 같은 디렉토리에 시작 및 종료 스크립트를 저장해야 합니다.

• 시작 스크립트 만들기에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 시작 스크립트 만들기를 참조하십시오.

• 종료 스크립트 만들기에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 사용자 정의 JumpStart 및 고급 설치의 종료 스크립트 만들기를 참조하십시오.

WAN 부트 설치 준비를 계속하려면 구성 파일 만들기를 참조하십시오.

구성 파일 만들기

WAN 부트는 다음 파일을 사용하여 WAN 부트 설치에 필요한 데이터와 파일의 위치를 지정합니다.

• 시스템 구성 파일(system.conf)

• wanboot.conf 파일

이 절에서는 이러한 두 개의 파일을 만들고 저장하는 방법에 대해 설명합니다.

시스템 구성 파일 만들기

시스템 구성 파일에서 WAN 부트 설치 프로그램을 다음 파일로 지정할 수 있습니다.

• sysidcfg 파일

• rules.ok 파일

• 사용자 정의 JumpStart 프로필

WAN 부트는 시스템 구성 파일의 포인터를 따라 클라이언트를 설치 및 구성합니다.

시스템 구성 파일은 일반 텍스트 파일이므로 다음 패턴으로 포맷되어야 합니다.

setting=value

시스템 구성 파일을 사용하여 WAN 설치 프로그램을 sysidcfg, rules.ok 및 프로필 파일로 전송하려면 다음 단계를 수행합니다.

시작하기 전에

시스템 구성 파일을 만들기 전에 반드시 WAN 부트 설치용 설치 파일을 만들어야 합니다. 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 텍스트 파일을 만듭니다. sys-conf.s10–sparc 와 같이 알기 쉬운 이름을 파일에 지정합니다.

3. 시스템 구성 파일에 다음 항목을 추가합니다.

   SsysidCF=sysidcfg-file-URL

   이 설정은 sysidcfg 파일이 포함된 설치 서버의 flash 디렉토리를 가리킵니다. 이 URL이 sysidcfg 파일 만들기에서 만든 sysidcfg 파일의 경로와 일치하는지 확인합니다.

   HTTPS를 사용하는 WAN 설치의 경우 값을 유효한 HTTPS URL로 설정합니다.

   SjumpsCF=jumpstart-files-URL

   이 설정은 rules.ok 파일, 프로필 파일, 시작 및 종료 스크립트를 포함하는 설치 서버의 Solaris Flash 디렉토리를 가리킵니다. 이 URL이 프로필 만들기와 rules 파일 만들기에서 만든 사용자 정의 JumpStart 파일의 경로와 일치하는지 확인합니다.

   HTTPS를 사용하는 WAN 설치의 경우 해당 값을 유효한 HTTPS URL로 설정합니다.

4. WAN 부트 서버로 액세스할 수 있는 위치에 파일을 저장합니다.

   관리 목적으로 파일을 WAN 부트 서버의 /etc/netboot 디렉토리에 있는 적절한 클라이언트 디렉토리에 저장할 수도 있습니다.

5. 시스템 구성 파일의 권한을 600으로 변경합니다.

   # chmod 600 /path/system-conf-file

   path

   시스템 구성 파일이 포함된 디렉토리의 경로를 지정합니다.

   system-conf-file

   시스템 구성 파일의 이름을 지정합니다.

예 12–12 HTTPS를 통한 WAN 부트 설치를 위한 시스템 구성 파일

다음 예에서 WAN 부트 프로그램은 포트 1234의 웹 서버 https://www.example.com에서 sysidcfg와 사용자 정의 JumpStart 파일을 확인합니다. 웹 서버는 보안 HTTP를 사용하여 설치 중에 데이터와 파일을 암호화합니다.

sysidcfg 및 사용자 정의 JumpStart 파일은 /opt/apache/htdocs 문서 루트 디렉토리의 flash 하위 디렉토리에 있습니다.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

예 12–13 비보안 WAN 부트 설치를 위한 시스템 구성 파일

다음 예에서 WAN 부트 프로그램은 웹 서버 http://www.example.com에서 sysidcfg와 사용자 정의 JumpStart 파일을 확인합니다. 웹 서버는 HTTP를 사용하므로 설치 도중 데이터와 파일은 보호되지 않습니다.

sysidcfg 및 사용자 정의 JumpStart 파일은 문서 루트 디렉토리 /opt/apache/htdocs의 flash 하위 디렉토리에 위치합니다.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

WAN 부트 설치 계속

시스템 구성 파일을 만든 후 wanboot.conf 파일을 만듭니다. 자세한 내용은 wanboot.conf 파일 만들기를 참조하십시오.

wanboot.conf 파일 만들기

wanboot.conf 파일은 WAN 부트 프로그램이 WAN 설치를 수행할 때 사용하는 일반 텍스트 구성 파일입니다. wanboot-cgi 프로그램, 부트 파일 시스템 및 WAN 부트 미니루트는 모두 wanboot.conf 파일에 포함된 정보를 사용하여 클라이언트 시스템을 설치합니다.

wanboot.conf 파일을 WAN 부트 서버의 /etc/netboot 계층에 있는 적절한 클라이언트 하위 디렉토리에 저장합니다. /etc/netboot 계층이 있는 WAN 부트 설치의 범위를 정의하는 방법은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

WAN 부트 서버에서 현재 Solaris 릴리스가 실행되는 경우 예제 파일 wanboot.conf 는 /etc/netboot/wanboot.conf.sample 디렉토리에 있습니다. 이 샘플을 WAN 부트 설치용 템플리트로 사용할 수 있습니다.

wanboot.conf 파일에 다음 정보를 포함해야 합니다

다음 형식으로 연관된 값과 함께 매개 변수를 나열하여 이 정보를 지정합니다.

parameter=value

wanboot.conf 파일 매개 변수 및 구문에 대한 자세한 내용은 wanboot.conf 파일 매개 변수 및 구문을 참조하십시오.

wanboot.conf 파일을 만들려면 다음과 같이 합니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. wanboot.conf 텍스트 파일을 만듭니다.

   wanboot.conf라는 새 텍스트 파일을 만들거나 /etc/netboot/wanboot.conf.sample에 있는 샘플 파일을 사용할 수 있습니다. 샘플 파일을 사용하는 경우 매개 변수를 추가한 다음 wanboot.conf 파일의 이름을 변경합니다.

3. 설치에 필요한 wanboot.conf 매개 변수와 값을 입력합니다.

   wanboot.conf 파일 매개 변수 및 값에 대한 자세한 내용은 wanboot.conf 파일 매개 변수 및 구문을 참조하십시오.

4. /etc/netboot 계층의 적절한 하위 디렉토리에 wanboot.conf 파일을 저장합니다.

   /etc/netboot 계층을 만드는 방법은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

5. wanboot.conf 파일을 검증합니다.

   # bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf

   path-to-wanboot.conf

   WAN 부트 서버에서 클라이언트의 wanboot.conf 파일에 대한 경로를 지정합니다.

   • wanboot.conf 파일이 구조적으로 유효한 경우 bootconfchk 명령은 종료 코드 0을 반환합니다.

   • wanboot.conf 파일이 유효하지 않은 경우 bootconfchk 명령은 0이 아닌 종료 코드를 반환합니다.

6. wanboot.conf 파일에서 사용 권한을 600으로 변경합니다.

   # chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf

예 12–14 HTTPS를 통한 WAN 부트 설치를 위한 wanboot.conf 파일

다음 wanboot.conf 파일 예에는 보안 HTTP를 사용하는 WAN 설치에 대한 구성 정보가 포함됩니다. 또한 wanboot.conf 파일은 3DES 암호 키가 이 설치에 사용됨을 나타냅니다.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

이 wanboot.conf 파일은 다음 구성을 지정합니다.

boot_file=/wanboot/wanboot.s10_sparc

두 번째 수준의 부트 프로그램의 이름은 wanboot.s10_sparc입니다. 이 프로그램은 WAN 부트 서버 문서 루트 디렉토리의 /wanboot 디렉토리에 있습니다.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

WAN 부트 서버에서 wanboot-cgi 프로그램은 https://www.example.com:1234/cgi-bin/wanboot-cgi에 있습니다. URL의 https 부분은 이 WAN 부트 설치에서 보안 HTTP를 사용함을 나타냅니다.

root_file=/miniroot/miniroot.s10_sparc

WAN 부트 미니루트의 이름은 miniroot.s10_sparc입니다. 이 미니루트는 WAN 부트 서버 문서 루트 디렉토리의 /miniroot 디렉토리에 있습니다.

signature_type=sha1

wanboot.s10_sparc 프로그램과 WAN 부트 파일 시스템은 HMAC SHA1 해싱 키로 서명되었습니다.

encryption_type=3des

wanboot.s10_sparc 프로그램과 WAN 부트 파일 시스템은 3DES 키로 암호화되었습니다.

server_authentication=yes

설치 도중 서버가 인증됩니다.

client_authentication=no

설치 도중 클라이언트는 인증되지 않습니다.

resolve_hosts=

WAN 설치를 수행하기 위해 추가 호스트 이름은 필요하지 않습니다. 모든 필요한 파일과 정보는 WAN 부트 서버의 문서 루트 디렉토리에 있습니다.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(선택 사항) 부트 및 설치 로그 메시지는 보안 HTTP를 사용하여 WAN 부트 서버에 기록됩니다.

WAN 부트 설치용 로깅 서버를 설정하는 방법에 대한 자세한 내용은 (선택 사항) WAN 부트 로깅 서버 구성을 참조하십시오.

system_conf=sys-conf.s10–sparc

sysidcfg 및 JumpStart 파일의 위치를 포함하는 시스템 구성 파일은 /etc/netboot 계층의 하위 디렉토리에 있습니다. 시스템 구성 파일의 이름은 sys-conf.s10–sparc입니다.

예 12–15 비보안 WAN 부트 설치를 위한 wanboot.conf 파일

다음 wanboot.conf 파일 예에는 HTTP를 사용하는 보다 덜 안전한 WAN 부트 설치에 대한 구성 정보가 들어 있습니다. 또한 이 wanboot.conf 파일은 설치 시 암호 키나 해싱 키를 사용하지 않음을 나타냅니다.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

이 wanboot.conf 파일은 다음 구성을 지정합니다.

boot_file=/wanboot/wanboot.s10_sparc

두 번째 수준의 부트 프로그램의 이름은 wanboot.s10_sparc입니다. 이 프로그램은 WAN 부트 서버 문서 루트 디렉토리의 /wanboot 디렉토리에 있습니다.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

WAN 부트 서버에서 wanboot-cgi 프로그램의 위치는 http://www.example.com/cgi-bin/wanboot-cgi입니다. 이 설치는 보안 HTTP를 사용하지 않습니다.

root_file=/miniroot/miniroot.s10_sparc

WAN 부트 미니루트의 이름은 miniroot.s10_sparc입니다. 이 미니루트는 WAN 부트 서버 문서 루트 디렉토리의 /miniroot 하위 디렉토리에 있습니다.

signature_type=

wanboot.s10_sparc 프로그램과 WAN 부트 파일 시스템은 해싱 키로 서명되지 않았습니다.

encryption_type=

wanboot.s10_sparc 프로그램과 WAN 부트 파일 시스템은 암호화되지 않았습니다.

server_authentication=no

설치 동안 키나 인증서로 서버가 인증되지 않습니다.

client_authentication=no

설치 동안 키나 인증서로 클라이언트가 인증되지 않습니다.

resolve_hosts=

설치를 수행하기 위해 필요한 추가 호스트 이름은 없습니다. 모든 필요한 파일과 정보는 WAN 부트 서버의 문서 루트 디렉토리에 있습니다.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(선택 사항) 부트 및 설치 로그 메시지는 WAN 부트 서버에 기록됩니다.

WAN 부트 설치용 로깅 서버를 설정하는 방법에 대한 자세한 내용은 (선택 사항) WAN 부트 로깅 서버 구성을 참조하십시오.

system_conf=sys-conf.s10–sparc

sysidcfg 및 JumpStart 파일의 위치가 포함된 시스템 구성 파일의 이름은 sys-conf.s10–sparc입니다. 이 파일은 /etc/netboot 계층의 적절한 클라이언트 하위 디렉토리에 있습니다.

WAN 부트 설치 계속

wanboot.conf 파일을 만든 후 원하는 경우 HDCP 서버가 WAN 부트를 지원하도록 구성할 수 있습니다. 방법은 (선택 사항) DHCP 서버를 사용하여 구성 정보 제공을 참조하십시오.

WAN 부트 설치에서 DHCP 서버를 사용하지 않으려는 경우 클라이언트 OBP에서 net 장치 별칭 확인을 참조하여 WAN 부트 설치를 계속합니다.

참조

wanboot.conf 매개 변수 및 값에 대한 자세한 내용은 wanboot.conf 파일 매개 변수 및 구문과 매뉴얼 페이지 wanboot.conf(4)를 참조하십시오.

(선택 사항) DHCP 서버를 사용하여 구성 정보 제공

사용자 네트워크에서 DHCP 서버를 사용하는 경우 DHCP 서버를 구성하여 다음 정보를 제공할 수 있습니다.

• 프록시 서버의 IP 주소

• wanboot-cgi 프로그램 위치

WAN 부트 설치 시 다음 DHCP 공급업체 옵션을 사용할 수 있습니다.

SHTTPproxy

네트워크 프록시 서버의 IP 주소를 지정합니다.

SbootURI

WAN 부트 서버에 있는 wanboot-cgi 프로그램의 URL을 지정합니다.

Solaris DHCP 서버의 공급업체 옵션 설정에 대한 내용은 DHCP 서비스를 사용하여 시스템 구성 정보 미리 구성(작업)을 참조하십시오.

Solaris DHCP 서버 설정에 대한 자세한 내용은 System Administration Guide: IP Services의 14 장, Configuring the DHCP Service (Tasks)를 참조하십시오.

WAN 부트 설치를 계속하려면 13 장SPARC: WAN 부트 설치(작업)을 참조하십시오.

13장 SPARC: WAN 부트 설치(작업)

이 장에서는 SPARC 기반 클라이언트에 WAN 부트를 설치하는 방법에 대해 설명합니다. WAN 부트 설치를 준비하는 방법에 대한 자세한 내용은 12 장WAN 부트를 사용하여 설치(작업) 를 참조하십시오.

이 장은 다음 내용으로 구성되어 있습니다.

• WAN 부트 설치를 위한 클라이언트 준비

• 클라이언트 설치

작업 맵: WAN 부트를 사용하여 클라이언트 설치

다음 표에는 WAN을 통해 클라이언트를 설치하는 데 필요한 작업이 나열되어 있습니다.

WAN 부트 설치를 위한 클라이언트 준비

클라이언트 시스템을 설치하기 전에 다음 작업을 수행하여 클라이언트를 준비합니다.

• 클라이언트 OBP에서 net 장치 별칭 확인

• 클라이언트에 키 설치

클라이언트 OBP에서 net 장치 별칭 확인

boot net를 사용하여 WAN에서 클라이언트를 부트하려면 net 장치 별칭을 클라이언트의 기본 네트워크 장치로 설정해야 합니다. 대부분의 시스템에서 이 별칭은 이미 올바르게 설정되어 있습니다. 그러나 사용하려는 네트워크 장치에 별칭이 설정되지 않은 경우 반드시 별칭을 변경해야 합니다.

장치 별칭을 설정하는 방법에 대한 자세한 내용은 OpenBoot 3.x Command Reference Manual의 “The Device Tree”를 참조하십시오.

클라이언트에서 net 장치 별칭을 확인하려면 다음 단계를 수행합니다.

1. 클라이언트에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

2. 시스템의 실행 수준이 0이 되도록 합니다.

   # init 0

   ok 프롬프트가 표시됩니다.

3. ok 프롬프트가 표시되면 OBP에 설정된 장치 별칭을 확인합니다.

   ok devalias

   devalias 명령은 다음 예와 유사한 정보를 출력합니다.

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • net 별칭이 설치하는 동안 사용할 네트워크 장치로 설정되어 있으면 별칭을 재설정할 필요가 없습니다. 설치를 계속하려면 클라이언트에 키 설치로 이동합니다.

   • net 별칭이 사용할 네트워크 장치로 설정되어 있지 않으면 별칭을 다시 설정해야 합니다. 계속합니다.

4. net 장치 별칭을 설정합니다.

   net 장치 별칭을 설정하려면 다음 명령 중 하나를 선택합니다.

   • 이 설치에 대해서만 net 장치 별칭을 설정하려면 devalias 명령을 사용합니다.

     ok devalias net device-path

     net device-path

     장치 device-path를 net 별칭에 할당합니다.

   • net 장치 별칭을 영구적으로 설정하려면 nvalias 명령을 사용합니다.

     ok nvalias net device-path

     net device-path

     장치 device-path를 net 별칭에 할당합니다.

예 13–1 net 장치 별칭 확인 및 재설정

다음 명령은 net 장치 별칭을 확인하고 재설정하는 방법을 보여 줍니다.

장치 별칭을 확인합니다.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

/pci@1f,0/pci@1,1/network@5,1 네트워크 장치를 사용하려면 다음 명령을 입력합니다.

ok devalias net /pci@1f,0/pci@1,1/network@5,1

WAN 부트 설치 계속

net 장치 별칭을 확인한 후 적절한 부분을 참조하여 설치를 계속합니다.

• 설치에서 해싱 키와 암호 키를 사용하는 경우 클라이언트에 키 설치를 참조하십시오.

• 키가 없는 더 낮은 보안의 설치를 수행하는 경우 클라이언트 설치를 참조하십시오.

클라이언트에 키 설치

보다 안전한 WAN 부트 설치나 데이터 무결성 검사를 사용한 비보안 설치의 경우 클라이언트에 키를 설치해야 합니다. 해싱 키와 암호 키를 사용하여 클라이언트로 전송된 데이터를 보호할 수 있습니다. 다음 방법으로 이러한 키를 설치할 수 있습니다.

• OBP 변수 설정 – 클라이언트를 부트하기 전에 OBP 네트워크 부트 인수 변수에 키 값을 할당할 수 있습니다. 이러한 키는 나중에 클라이언트의 WAN 부트 설치에 사용할 수 있습니다.

• 부트 프로세스 도중 키 값 입력 – wanboot 프로그램 boot> 프롬프트에서 키 값을 설정할 수 있습니다. 이 방법으로 설치 키를 사용하면 해당 설치 키는 현재 WAN 부트 설치에 대해서만 사용됩니다.

또한 실행 중인 클라이언트의 OBP에 키를 설치할 수도 있습니다. 실행 중인 클라이언트에 키를 설치하려는 경우 시스템에 반드시 Solaris 9 12/03 OS 또는 호환 버전이 실행되어야 합니다.

클라이언트에 키를 설치하는 경우 비보안 연결을 통해 키가 전송되지 않는지 확인합니다. 사용자 사이트의 보안 정책을 수행하여 키 값의 프라이버시를 보장합니다.

• OBP 네트워크 부트 인수 변수에 키 값을 할당하는 방법은 클라이언트 OBP에 키 설치를 참조하십시오.

• 부트 프로세스 동안 키를 설치하는 방법에 대한 자세한 내용은 대화식 WAN 부트 설치 수행을 참조하십시오.

• 실행 중인 클라이언트의 OBP에 키를 설치하는 방법은 실행 중인 클라이언트에 해싱 키 및 암호 키 설치를 참조하십시오.

클라이언트 OBP에 키 설치

클라이언트를 부트하기 전에 OBP 네트워크 부트 인수에 대한 키 값을 지정할 수 있습니다. 이러한 키는 나중에 클라이언트의 WAN 부트 설치에 사용할 수 있습니다.

클라이언트 OBP에 키를 설치하려면 다음과 같이 합니다.

OBP 네트워크 부트 인자에 키 값을 할당하려면 다음 단계를 수행합니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 각 클라이언트 키 값을 표시합니다.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   클라이언트 서브넷의 IP 주소입니다.

   client-ID

   설치할 클라이언트의 ID입니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

   key-type

   클라이언트에 설치할 키 유형입니다. 유효한 키 유형은 3des, aes 또는 sha1입니다.

   키의 16진수 값이 표시됩니다.

3. 설치할 각 클라이언트 키 유형에 대해 이전 단계를 반복합니다.

4. 클라이언트 시스템의 실행 수준이 0이 되도록 합니다.

   # init 0

   ok 프롬프트가 표시됩니다.

5. 클라이언트 ok 프롬프트에서 해싱 키의 값을 설정합니다.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   클라이언트에 키를 설치합니다.

   wanboot-hmac-sha1

   OBP에 지시하여 HMAC SHA1 해싱 키를 설치합니다.

   key-value

   단계 2에 표시된 16진수 문자열을 지정합니다.

   HMAC SHA1 해싱 키는 클라이언트 OBP에 설치됩니다.

6. 클라이언트 ok 프롬프트에서 암호 키를 설치합니다.

   ok set-security-key wanboot-3des key-value

   set-security-key

   클라이언트에 키를 설치합니다.

   wanboot-3des

   OBP에 지시하여 3DES 암호 키를 설치합니다. AES 암호 키를 사용하려면 이 값을 wanboot-aes로 설정합니다.

   key-value

   암호 키를 나타내는 16진수 문자열을 지정합니다.

   3DES 암호 키가 클라이언트 OBP에 설치됩니다.

   키를 설치하였으면 클라이언트를 설치할 준비가 된 것입니다. 클라이언트 시스템을 설치하는 방법은 클라이언트 설치를 참조하십시오.

7. (옵션) 키가 클라이언트 OBP에 설정되어 있는지 확인합니다.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (옵션) 키를 삭제해야 할 경우 다음 명령을 입력합니다.

   ok set-security-key key-type

   key-type

   삭제해야 할 키 유형을 지정합니다. wanboot-hmac-sha1, wanboot-3des , wanboot-aes 값 중 하나를 사용합니다.

예 13–2 클라이언트 OBP에 키 설치

다음 예는 클라이언트 OBP에 해싱 키와 암호 키를 설치하는 방법을 보여 줍니다.

WAN 부트 서버의 키 값을 표시합니다.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 예에서는 다음 정보를 사용합니다.

net=192.168.198.0

클라이언트 서브넷의 IP 주소를 지정합니다.

cid=010003BA152A42

클라이언트의 ID를 지정합니다.

b482aaab82cb8d5631e16d51478c90079cc1d463

클라이언트의 HMAC SHA1 해싱 키 값을 지정합니다.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

클라이언트의 3DES 암호 키 값을 지정합니다.

설치 시 AES 암호 키를 사용하는 경우 wanboot-3des를 wanboot-aes로 변경하여 암호 키 값을 표시합니다.

클라이언트 시스템에 키를 설치합니다.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 명령으로 다음 작업을 수행합니다.

• b482aaab82cb8d5631e16d51478c90079cc1d463 값을 가진 HMAC SHA1 해싱 키를 클라이언트에 설치합니다.

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 값을 가진 3DES 암호 키를 클라이언트에 설치합니다.

  설치 시 AES 암호 키를 사용하는 경우 wanboot-3des를 wanboot-aes로 변경합니다.

WAN 부트 설치 계속

클라이언트에 키를 설치한 후 WAN을 통하여 클라이언트를 설치할 수 있습니다. 자세한 내용은 클라이언트 설치를 참조하십시오.

참조

키 값을 표시하는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.

실행 중인 클라이언트에 해싱 키 및 암호 키 설치

실행 중인 시스템의 wanboot 프로그램 boot> 프롬프트에서 키 값을 설정할 수 있습니다. 이 방법으로 설치 키를 사용하면 해당 설치 키는 현재 WAN 부트 설치에 대해서만 사용됩니다.

실행 중인 클라이언트 OBP에 해싱 키와 암호 키를 설치하려면 다음 단계를 수행합니다.

시작하기 전에

이 절차에서는 다음을 가정합니다.

• 클라이언트 시스템의 전원이 켜져 있습니다.

• 보안 쉘(ssh) 같은 보안 연결을 통해 클라이언트에 액세스할 수 있습니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 클라이언트 키 값을 표시합니다.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   클라이언트 서브넷의 IP 주소입니다.

   client-ID

   설치할 클라이언트의 ID입니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

   key-type

   클라이언트에 설치할 키 유형입니다. 유효한 키 유형은 3des, aes 또는 sha1입니다.

   키의 16진수 값이 표시됩니다.

3. 설치할 각 클라이언트 키 유형에 대해 이전 단계를 반복합니다.

4. 클라이언트 시스템에서 수퍼유저 또는 동등한 역할의 사용자로 로그인합니다.

   ---

   주 –

   역할에는 권한 부여 및 권한이 있는 명령이 포함됩니다. 역할에 대한 자세한 내용은 System Administration Guide: Security Services의 Configuring RBAC (Task Map)를 참조하십시오.

   ---

5. 실행 중인 클라이언트 시스템에 필요한 키를 설치합니다.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   클라이언트에 설치할 키 유형을 지정합니다. 유효한 키 유형은 3des, aes 또는 sha1입니다.

   key-value

   단계 2에 표시된 16진수 문자열을 지정합니다.

6. 설치할 각 클라이언트 키 유형에 대해 이전 단계를 반복합니다.

   키를 설치한 후에는 클라이언트를 설치할 준비가 된 것입니다. 클라이언트 시스템을 설치하는 방법은 클라이언트 설치를 참조하십시오.

예 13–3 실행 중인 클라이언트 시스템 OBP에 키 설치

다음 예는 실행 중인 클라이언트 OBP에 키를 설치하는 방법을 보여 줍니다.

WAN 부트 서버의 키 값을 표시합니다.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 예에서는 다음 정보를 사용합니다.

net=192.168.198.0

클라이언트 서브넷의 IP 주소를 지정합니다.

cid=010003BA152A42

클라이언트의 ID를 지정합니다.

b482aaab82cb8d5631e16d51478c90079cc1d463

클라이언트의 HMAC SHA1 해싱 키 값을 지정합니다.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

클라이언트의 3DES 암호 키 값을 지정합니다.

설치에 AES 암호화 키를 사용하는 경우에는 type=3des를 type=aes로 변경하여 암호화 키 값을 표시합니다.

실행 중인 클라이언트 OBP에 키를 설치합니다.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 명령으로 다음 작업을 수행합니다.

• b482aaab82cb8d5631e16d51478c90079cc1d463 값을 가진 HMAC SHA1 해싱 키를 클라이언트에 설치합니다.

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 값을 가진 3DES 암호 키를 클라이언트에 설치합니다.

WAN 부트 설치 계속

클라이언트에 키를 설치한 후 WAN을 통하여 클라이언트를 설치할 수 있습니다. 자세한 내용은 클라이언트 설치를 참조하십시오.

참조

키 값을 표시하는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.

실행 중인 시스템에 키를 설치하는 방법에 대한 자세한 내용은 ickey(1M)을 참조하십시오.

클라이언트 설치

WAN 부트 설치를 위한 네트워크 준비를 마쳤으면 다음 중 한 가지 방법을 선택하여 시스템을 설치할 수 있습니다.

비대화식 WAN 부트 설치 수행

클라이언트를 설치하기 전에 키를 설치하고 클라이언트 구성 정보를 설정하려면 이 설치 방법을 사용합니다. 그런 다음 WAN에서 클라이언트를 부트하여 무인 설치를 수행할 수 있습니다.

이 절차에서는 클라이언트 OBP에 키를 설치했거나 비보안 설치를 수행 중이라고 가정합니다 설치 전에 클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

1. 클라이언트 시스템이 현재 실행 중인 경우 시스템의 실행 수준이 0이 되도록 합니다.

   # init 0

   ok 프롬프트가 표시됩니다.

2. 클라이언트 시스템의 ok 프롬프트에서 OBP의 네트워크 부트 인자 변수를 설정합니다.

   ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL

   ---

   주 –

   이 명령 샘플의 줄 바꿈은 형식 지정 용도로만 포함됩니다. 명령 입력을 마칠 때까지는 캐리지 리턴을 입력하지 마십시오.

   ---

   setenv network-boot-arguments

   OBP에 다음 부트 인수를 설정하도록 지시합니다.

   host-ip=client-IP

   클라이언트 IP 주소를 지정합니다.

   router-ip=router-ip

   네트워크 라우터 IP 주소를 지정합니다.

   subnet-mask=mask-value

   서브넷 마스크 값을 지정합니다.

   hostname=client-name

   클라이언트 호스트 이름을 지정합니다.

   (선택 사항) http-proxy=proxy-ip:port

   네트워크 프록시 서버의 IP 주소 및 포트를 지정합니다.

   file=wanbootCGI-URL

   웹 서버에서 wanboot-cgi 프로그램의 URL을 지정합니다.

3. 클라이언트를 부트합니다.

   ok boot net - install

   net - install

   네트워크 부트 인자 변수를 사용하여 WAN에서 부트하도록 클라이언트에 지시합니다.

   클라이언트가 WAN을 통하여 설치합니다. WAN 부트 프로그램에서 필요한 설치 정보를 모두 찾지 못한 경우 wanboot 프로그램은 빠진 정보를 입력하라는 프롬프트를 표시합니다. 프롬프트에 추가 정보를 입력합니다.

예 13–4 비대화식 WAN 부트 설치

다음 예에서 클라이언트 시스템 myclient의 네트워크 부트 인수 변수는 컴퓨터가 부트되기 전에 설정됩니다. 이 예에서는 해싱 키와 암호 키가 이미 클라이언트에 설치되어 있다고 가정합니다. WAN에서 부트하기 전에 키를 설치하는 방법은 클라이언트에 키 설치를 참조하십시오.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

다음 변수가 설정됩니다.

• 클라이언트 IP 주소가 192.168.198.136으로 설정됩니다.

• 클라이언트의 라우터 IP 주소가 192.168.198.129로 설정됩니다.

• 클라이언트의 서브넷 마스크가 255.255.255.192로 설정됩니다.

• 클라이언트의 호스트 이름이 seahag로 설정됩니다.

• wanboot-cgi 프로그램은 http://192.168.198.135/cgi-bin/wanboot-cgi에 있습니다.

참조

네트워크 부트 인수를 설정하는 방법에 대한 자세한 내용은 set(1)을 참조하십시오.

시스템을 부트하는 방법에 대한 자세한 내용은 boot(1M)을 참조하십시오.

대화식 WAN 부트 설치 수행

설치 도중 명령줄에서 키를 설치하고 클라이언트 구성 정보를 설정하는 경우 이 설치 방법을 사용합니다.

이 절차에서는 사용자 WAN 설치에 HTTPS를 사용하고 있다고 가정합니다. 키를 사용하지 않는 비보안 설치를 수행하는 경우 클라이언트 키를 표시하거나 설치하지 마십시오.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 각 클라이언트 키 값을 표시합니다.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   설치할 클라이언트 서브넷의 IP 주소입니다.

   client-ID

   설치할 클라이언트의 ID입니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

   key-type

   클라이언트에 설치할 키 유형입니다. 유효한 키 유형은 3des, aes 또는 sha1입니다.

   키의 16진수 값이 표시됩니다.

3. 설치 중인 각 클라이언트 키 유형에 대해 이전 단계를 반복합니다.

4. 클라이언트 시스템이 현재 실행 중인 경우 클라이언트가 실행 수준 0이 되도록 합니다.

5. 클라이언트 시스템의 ok 프롬프트가 표시되면 OBP의 네트워크 부트 인수 변수를 설정합니다.

   ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

   ---

   주 –

   이 명령 샘플의 줄 바꿈은 형식 지정 용도로만 포함됩니다. 명령 입력을 마칠 때까지는 캐리지 리턴을 입력하지 마십시오.

   ---

   setenv network-boot-arguments

   OBP에 지시하여 다음 부트 인자를 설정합니다.

   host-ip=client-IP

   클라이언트의 IP 주소를 지정합니다.

   router-ip=router-ip

   네트워크 라우터의 IP 주소를 지정합니다.

   subnet-mask=mask-value

   서브넷 마스크 값을 지정합니다.

   hostname=client-name

   클라이언트의 호스트 이름을 지정합니다.

   (선택 사항) http-proxy=proxy-ip:port

   네트워크 프록시 서버의 IP 주소와 포트를 지정합니다.

   bootserver=wanbootCGI-URL

   웹 서버에서 wanboot-cgi 프로그램의 URL을 지정합니다.

   ---

   주 –

   bootserver 변수의 URL 값은 HTTPS URL이 아니어야 합니다. URL은 http://로 시작해야 합니다.

   ---

6. 클라이언트 ok 프롬프트에서 시스템을 부트합니다.

   ok boot net -o prompt - install

   net -o prompt - install

   클라이언트에 지시하여 네트워크에서 부트하고 설치합니다. wanboot 프로그램은 boot> 프롬프트에서 클라이언트 구성 정보를 입력하라는 메시지를 표시합니다.

   boot> 프롬프트가 표시됩니다.

7. 암호 키를 설치합니다.

   boot> 3des=key-value

   3des=key-value

   단계 2에서 표시된 3DES 키의 16진수 문자열을 지정합니다.

   AES 암호 키를 사용하는 경우 다음 형식으로 이 명령을 사용합니다.

   boot> aes=key-value

8. 해싱 키를 설치합니다.

   boot> sha1=key-value

   sha1=key-value

   단계 2에 표시된 해싱 키 값을 지정합니다.

9. 부트 프로세스를 계속하려면 다음 명령을 입력합니다.

   boot> go

   클라이언트는 WAN을 통해 설치합니다.

10. 프롬프트가 표시되면 명령줄에 클라이언트 구성 정보를 입력합니다.

    WAN 부트 프로그램이 필요한 설치 정보를 모두 찾을 수 없는 경우 wanboot 프로그램에 누락된 정보를 입력하라는 프롬프트가 표시됩니다. 프롬프트에 추가 정보를 입력합니다.

예 13–5 대화식 WAN 부트 설치

다음 예에서 wanboot 프로그램은 설치 도중 클라이언트 시스템에 대해 키 값을 설정하라는 메시지를 표시합니다.

WAN 부트 서버의 키 값을 표시합니다.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 예에서는 다음 정보를 사용합니다.

net=192.168.198.0

클라이언트 서브넷의 IP 주소를 지정합니다.

cid=010003BA152A42

클라이언트의 ID를 지정합니다.

b482aaab82cb8d5631e16d51478c90079cc1d463

클라이언트의 HMAC SHA1 해싱 키 값을 지정합니다.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

클라이언트의 3DES 암호 키 값을 지정합니다.

설치에 AES 암호화 키를 사용하는 경우에는 type=3des를 type=aes로 변경하여 암호화 키 값을 표시합니다.

클라이언트에 있는 OBP의 네트워크 부트 인자 변수를 설정합니다.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

다음 변수가 설정됩니다.

• 클라이언트 IP 주소가 192.168.198.136으로 설정됩니다.

• 클라이언트의 라우터 IP 주소가 192.168.198.129로 설정됩니다.

• 클라이언트의 서브넷 마스크가 255.255.255.192로 설정됩니다.

• 클라이언트의 호스트 이름은 myclient로 설정됩니다.

• wanboot-cgi 프로그램은 http://192.168.198.135/cgi-bin/wanboot-cgi에 있습니다.

클라이언트를 부트하고 설치합니다.

ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

위 명령으로 다음 작업을 수행합니다.

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 값을 가진 3DES 암호 키를 클라이언트에 설치합니다.

• b482aaab82cb8d5631e16d51478c90079cc1d463 값을 가진 HMAC SHA1 해싱 키를 클라이언트에 설치합니다.

• 설치를 시작합니다.

참조

키 값을 표시하는 방법에 대한 자세한 내용은 wanbootutil(1M)을 참조하십시오.

네트워크 부트 인수를 설정하는 방법에 대한 자세한 내용은 set(1)을 참조하십시오.

시스템을 부트하는 방법에 대한 자세한 내용은 boot(1M)을 참조하십시오.

DHCP 서버를 사용하여 WAN 부트 설치 수행

DHCP 서버가 WAN 부트 옵션을 지원하도록 구성한 경우 DHCP 서버를 사용하여 설치하는 동안 클라이언트 구성 정보를 제공할 수 있습니다. DHCP 서버가 WAN 부트 설치를 지원하도록 구성하는 방법에 대한 자세한 내용은 (선택 사항) DHCP 서버를 사용하여 구성 정보 제공을 참조하십시오.

이 절차에서는 다음을 가정합니다.

• 클라이언트 시스템이 실행 중입니다.

• 클라이언트에 키를 설치하였거나 비보안 설치를 수행 중입니다.

  설치 전에 클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

• SbootURI 및 SHTTPproxy WAN 부트 옵션을 지원하도록 DHCP 서버를 구성하였습니다.

  이러한 옵션을 사용하면 DHCP 서버에서 WAN 부트가 필요로 하는 구성 정보를 제공할 수 있습니다.

  DHCP 서버에 설치 옵션을 설정하는 방법에 대한 자세한 내용은 DHCP 서비스를 사용하여 시스템 구성 정보 미리 구성(작업)을 참조하십시오.

1. 클라이언트 시스템이 현재 실행 중인 경우 시스템의 실행 수준이 0이 되도록 합니다.

   # init 0

   ok 프롬프트가 표시됩니다.

2. 클라이언트 시스템의 ok 프롬프트에서 OBP의 네트워크 부트 인자 변수를 설정합니다.

   ok setenv network-boot-arguments dhcp,hostname=client-name

   setenv network-boot-arguments

   OBP에 지시하여 다음 부트 인자를 설정합니다.

   dhcp

   OBP에 지시하여 DHCP 서버를 사용하여 클라이언트를 구성합니다.

   hostname=client-name

   클라이언트에 할당할 호스트 이름을 지정합니다.

3. 네트워크에서 클라이언트를 부트합니다.

   ok boot net - install

   net - install

   네트워크 부트 인자 변수를 사용하여 WAN에서 부트하도록 클라이언트에 지시합니다.

   클라이언트가 WAN을 통하여 설치합니다. WAN 부트 프로그램에서 필요한 설치 정보를 모두 찾지 못한 경우 wanboot 프로그램은 빠진 정보를 입력하라는 프롬프트를 표시합니다. 프롬프트에 추가 정보를 입력합니다.

예 13–6 DHCP 서버를 사용하여 WAN 부트 설치

다음 예에서 네트워크의 DHCP 서버는 클라이언트 구성 정보를 제공합니다. 이 샘플은 클라이언트의 호스트 이름 myclient를 요청합니다.

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

참조

네트워크 부트 인수를 설정하는 방법에 대한 자세한 내용은 set(1)을 참조하십시오.

시스템을 부트하는 방법에 대한 자세한 내용은 boot(1M)을 참조하십시오.

DHCP를 구성하는 방법에 대한 자세한 내용은 (선택 사항) DHCP 서버를 사용하여 구성 정보 제공을 참조하십시오.

로컬 CD 매체를 사용하여 WAN 부트 설치 수행

클라이언트 OBP가 WAN 부트를 지원하지 않는 경우 클라이언트 CD-ROM 드라이브에 삽입된 Solaris Software - 1 CD를 사용하여 설치할 수 있습니다. 로컬 CD를 사용하는 경우 클라이언트는 WAN 부트 서버가 아닌 로컬 매체에서 wanboot 프로그램을 검색합니다.

이 절차에서는 사용자 WAN 설치에 HTTPS를 사용하고 있다고 가정합니다. 비보안 설치를 수행하고 있는 경우에는 클라이언트 키를 표시하거나 설치하지 않습니다.

로컬 CD에서 WAN 부트 설치를 수행하려면 다음 단계를 수행합니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 각 클라이언트 키 값을 표시합니다.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   설치 중인 클라이언트의 네트워크 IP 주소입니다.

   client-ID

   설치 중인 클라이언트의 ID입니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

   key-type

   클라이언트에 설치하는 키 유형입니다. 유효한 키 유형은 3des, aes 또는 sha1입니다.

   키의 16진수 값이 표시됩니다.

3. 설치 중인 각 클라이언트 키 유형에 대해 이전 단계를 반복합니다.

4. 클라이언트 시스템에서 Solaris Software - 1 CD를 CD-ROM 드라이브에 삽입합니다.

5. 클라이언트 시스템의 전원을 켭니다.

6. CD에서 클라이언트를 부트합니다.

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   OBP에게 지시하여 로컬 CD-ROM에서 부트합니다.

   -o prompt

   wanboot 프로그램에 지시하여 클라이언트 구성 정보를 입력하라는 메시지를 표시합니다.

   -F wanboot

   OBP에 지시하여 CD-ROM에서 wanboot 프로그램을 로드합니다.

   - install

   클라이언트에 지시하여 WAN 부트 설치를 수행합니다.

   클라이언트의 OBP는 Solaris Software - 1 CD에서 wanboot 프로그램을 로드합니다. wanboot 프로그램이 시스템을 부트하며 boot> 프롬프트가 표시됩니다.

7. 암호 키 값을 입력합니다.

   boot> 3des=key-value

   3des=key-value

   단계 2에서 표시된 3DES 키의 16진수 문자열을 지정합니다.

   AES 암호 키를 사용하는 경우 다음 형식으로 이 명령을 사용합니다.

   boot> aes=key-value

8. 해싱 키 값을 입력합니다.

   boot> sha1=key-value

   sha1=key-value

   단계 2에서 표시된 해싱 키 값을 나타내는 16진수 문자열을 지정합니다.

9. 네트워크 인터페이스 변수를 설정합니다.

   boot> variable=value[,variable=value*]

   boot> 프롬프트에서 다음 변수와 변수 값 쌍을 입력합니다.

   host-ip=client-IP

   클라이언트의 IP 주소를 지정합니다.

   router-ip=router-ip

   네트워크 라우터의 IP 주소를 지정합니다.

   subnet-mask=mask-value

   서브넷 마스크 값을 지정합니다.

   hostname=client-name

   클라이언트의 호스트 이름을 지정합니다.

   (선택 사항) http-proxy=proxy-ip:port

   네트워크 프록시 서버의 IP 주소와 포트 번호를 지정합니다.

   bootserver=wanbootCGI-URL

   웹 서버에서 wanboot-cgi 프로그램의 URL을 지정합니다.

   ---

   주 –

   bootserver 변수의 URL 값은 HTTPS URL이 아니어야 합니다. URL은 http://로 시작해야 합니다.

   ---

   다음 방법으로 이러한 변수를 입력할 수 있습니다.

   • boot> 프롬프트에서 한 개의 변수와 값 쌍을 입력한 다음 Enter 키를 누릅니다.

     boot> host-ip=client-IP boot> subnet-mask=mask-value

   • 한 boot> 프롬프트 행에 변수와 값 쌍을 모두 입력한 다음 Enter 키를 누릅니다. 쉼표를 입력하여 각 변수와 값 쌍을 구분합니다.

     boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

10. 부트 프로세스를 계속하려면 다음 명령을 입력합니다.

    boot> go

    클라이언트가 WAN을 통하여 설치합니다. WAN 부트 프로그램에서 필요한 설치 정보를 모두 찾지 못한 경우 wanboot 프로그램은 빠진 정보를 입력하라는 프롬프트를 표시합니다. 프롬프트에 추가 정보를 입력합니다.

예 13–7 로컬 CD 매체를 사용하여 설치

다음 예에서 로컬 CD의 wanboot 프로그램은 설치 도중 클라이언트에 네트워크 인터페이스 변수를 설정하라는 메시지를 표시합니다.

WAN 부트 서버의 키 값을 표시합니다.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 예에서는 다음 정보를 사용합니다.

net=192.168.198.0

클라이언트 서브넷의 IP 주소를 지정합니다.

cid=010003BA152A42

클라이언트의 ID를 지정합니다.

b482aaab82cb8d5631e16d51478c90079cc1d463

클라이언트의 HMAC SHA1 해싱 키 값을 지정합니다.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

클라이언트의 3DES 암호 키 값을 지정합니다.

설치에 AES 암호화 키를 사용하는 경우에는 type=3des를 type=aes로 변경하여 암호화 키 값을 표시합니다.

클라이언트를 부트하고 설치합니다.

ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

위 명령으로 다음 작업을 수행합니다.

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 값을 가진 3DES 암호 키를 클라이언트에 입력합니다.

• b482aaab82cb8d5631e16d51478c90079cc1d463 값을 가진 HMAC SHA1 해싱 키를 클라이언트에 입력합니다.

• 클라이언트 IP 주소를 192.168.198.124로 설정합니다.

• 클라이언트의 서브넷 마스크를 255.255.255.128로 설정합니다.

• 클라이언트 라우터 IP 주소를 192.168.198.1로 설정합니다.

• 클라이언트의 호스트 이름을 myclient로 설정합니다.

• 클라이언트 ID를 010003BA152A42로 설정합니다.

• wanboot-cgi 프로그램의 위치를 http://192.168.198.135/cgi-bin/wanboot-cgi/로 설정합니다.

참조

키 값을 표시하는 방법에 대한 자세한 내용은 wanbootutil(1M)을 참조하십시오.

네트워크 부트 인수를 설정하는 방법에 대한 자세한 내용은 set(1)을 참조하십시오.

시스템을 부트하는 방법에 대한 자세한 내용은 boot(1M)을 참조하십시오.

14장 SPARC: WAN 부트 설치(예)

이 장에서는 WAN을 통해 클라이언트 시스템을 설정 및 설치하는 예를 제공합니다. 이 장의 예에서는 HTTPS 연결을 통해 보안 WAN 부트를 설치하는 방법에 대해 설명합니다.

• 샘플 사이트 설정

• 문서 루트 디렉토리 만들기

• WAN 부트 미니루트 만들기

• WAN 부트 지원을 위한 클라이언트 OBP 확인

• WAN 부트 서버에 wanboot 프로그램 설치

• /etc/netboot 계층 구조 만들기

• wanboot-cgi 프로그램을 WAN 부트 서버로 복사

• (선택 사항) WAN 부트 서버를 로깅 서버로 구성

• HTTPS를 사용하도록 WAN 부트 서버 구성

• 신뢰할 수 있는 인증서를 클라이언트에게 제공

• (선택 사항) 클라이언트 인증용 개인 키 및 인증서 사용

• 서버 및 클라이언트용 키 만들기

• Solaris Flash 아카이브 만들기

• sysidcfg 파일 만들기

• 클라이언트 프로필 만들기

• rules 파일 만들기 및 검증

• 시스템 구성 파일 만들기

• wanboot.conf 파일 만들기

• OBP의 net 장치 별명 확인

• 클라이언트에 키 설치

• 클라이언트 설치

샘플 사이트 설정

그림 14–1은 이 예에 대한 사이트 설정을 보여줍니다.

그림 14–1 WAN 부트 설치의 샘플 사이트

이 샘플 사이트에는 다음과 같은 특성이 있습니다.

• wanserver-1 서버는 WAN 부트 서버 및 설치 서버로 구성됩니다.

• wanserver-1의 IP 주소는 192.168.198.2입니다.

• wanserver-1의 도메인 이름은 www.example.com입니다.

• wanserver-1에서 현재 Solaris 릴리스를 실행합니다.

• wanserver-1에서 Apache 웹 서버를 실행합니다. wanserver-1의 Apache 소프트웨어에서 HTTPS를 지원하도록 구성됩니다.

• 설치할 클라이언트 이름은 wanclient-1입니다.

• wanclient-1은 UltraSPARCII 시스템입니다.

• wanclient-1의 클라이언트 ID는 010003BA152A42입니다.

• wanclient-1의 IP 주소는 192.168.198.210입니다.

• 클라이언트 서브넷의 IP 주소는 192.168.198.0입니다.

• wanclient-1 클라이언트 시스템은 인터넷에 액세스하지만 wanserver-1을 포함하는 네트워크에 직접 연결되지 않습니다.

• wanclient-1은 현재 Solaris 릴리스 소프트웨어와 함께 설치되는 새 시스템입니다.

문서 루트 디렉토리 만들기

설치 파일 및 데이터를 저장하려면 wanserver-1의 문서 루트 디렉토리(/opt/apache/htdocs)에 다음 디렉토리를 설정합니다.

• Solaris Flash 디렉토리

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• WAN 부트 미니루트 디렉토리

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• wanboot 프로그램 디렉토리

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

WAN 부트 미니루트 만들기

setup_install_server(1M)을 -w 옵션과 함께 사용하여 WAN 부트 미니루트와 Solaris 소프트웨어 이미지를 wanserver-1의 /export/install/Solaris_10 디렉토리로 복사합니다.

wanserver-1에 연결된 매체 드라이브에 Solaris Software 매체를 넣습니다. 다음 명령을 입력합니다.

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리(/opt/apache/htdocs/)로 이동합니다.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

WAN 부트 지원을 위한 클라이언트 OBP 확인

클라이언트 시스템에서 다음 명령을 입력하여 클라이언트 OBP가 WAN 부트를 지원하는지 확인합니다.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

앞의 예에서 network-boot-arguments: data not available 출력은 클라이언트 OBP가 WAN 부트를 지원함을 나타냅니다.

WAN 부트 서버에 wanboot 프로그램 설치

WAN 부트 서버에 wanboot 프로그램을 설치하려면 Solaris Software 매체에서 WAN 부트 서버의 문서 루트 디렉토리로 프로그램을 복사합니다.

wanserver-1에 연결된 매체 드라이브에 Solaris DVD 또는 Solaris Software - 1 CD를 넣고 다음 명령을 입력합니다.

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

/etc/netboot 계층 구조 만들기

WAN 부트 서버에 /etc/netboot 디렉토리의 wanclient-1 하위 디렉토리를 만듭니다. WAN 부트 설치 프로그램은 설치 도중 이 디렉토리에서 구성 및 보안 정보를 검색합니다.

wanclient-1은 서브넷 192.168.198.0에 있으며 클라이언트 ID는 010003BA152A42입니다. wanclient-1에 대해 해당하는 /etc/netboot 하위 디렉토리를 만들려면 다음 작업을 수행합니다.

• /etc/netboot 디렉토리를 만듭니다.

• /etc/netboot 디렉토리의 권한을 700으로 변경합니다.

• /etc/netboot 디렉토리의 소유자를 웹 서버 프로세스의 소유자로 변경합니다.

• 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

• 서브넷(192.168.198.0) 이름을 따라 /etc/netboot의 하위 디렉토리를 만듭니다.

• 클라이언트 ID 이름을 따라 서브넷 디렉토리의 하위 디렉토리를 만듭니다.

• /etc/netboot 하위 디렉토리의 권한을 700으로 변경합니다.

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

wanboot-cgi 프로그램을 WAN 부트 서버로 복사

현재 Solaris 릴리스를 실행 중인 시스템에서 wanboot-cgi 프로그램은 /usr/lib/inet/wanboot/ 디렉토리에 있습니다. WAN 부트 서버에서 설치 데이터를 전송할 수 있게 하려면 wanboot-cgi 프로그램을 웹 서버 소프트웨어 디렉토리의 cgi-bin 디렉토리로 복사합니다.

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(선택 사항) WAN 부트 서버를 로깅 서버로 구성

기본적으로 모든 WAN 부트 로깅 메시지가 클라이언트 시스템에 표시됩니다. 이러한 기본 작동으로 설치 문제를 빠르게 디버그할 수 있습니다.

WAN 부트 서버에서 부트 및 설치 메시지를 보려면 bootlog-cgi 스크립트를 wanserver-1의 cgi-bin 디렉토리로 복사합니다.

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

HTTPS를 사용하도록 WAN 부트 서버 구성

WAN 부트 설치에 HTTPS를 사용하려면 웹 서버 소프트웨어에서 SSL 지원을 활성화해야 합니다. 또한 WAN 부트 서버에 디지털 인증서를 설치해야 합니다. 이 예에서는 wanserver-1의 Apache 웹 서버에서 SSL을 사용하도록 구성된 것으로 가정합니다. 이 예에서는 또한 wanserver-1의 ID를 설정하는 디지털 인증서와 인증 기관이 wanserver-1에 이미 설치된 것으로 가정합니다.

웹 서버 소프트웨어에서 SSL을 사용하도록 구성하는 방법에 대한 예는 웹 서버 설명서를 참조하십시오.

신뢰할 수 있는 인증서를 클라이언트에게 제공

서버가 클라이언트에게 자가 인증을 요구하여 HTTPS를 통해 서버에서 클라이언트로 전송되는 데이터를 보호합니다. 서버 인증을 사용하려면 신뢰할 수 있는 인증서를 클라이언트에게 제공합니다. 신뢰할 수 있는 인증서를 사용하면 클라이언트는 설치 도중 서버의 ID를 확인할 수 있습니다.

클라이언트에게 신뢰할 수 있는 인증서를 제공하려면 웹 서버 사용자와 동일한 사용자 역할을 가정합니다. 그리고 해당 인증서를 분할하여 신뢰할 수 있는 인증서를 추출합니다. 그런 다음 /etc/netboot 계층 구조의 클라이언트 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다.

이 예에서는 웹 서버 사용자 역할로 nobody를 가정합니다. 그런 다음 cert.p12라는 서버 PKCS#12 인증서를 분할한 다음 신뢰할 수 있는 인증서를 wanclient-1의 /etc/netboot 디렉토리에 삽입합니다.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(선택 사항) 클라이언트 인증용 개인 키 및 인증서 사용

설치하는 동안 데이터를 보다 잘 보호하기 위해 wanclient-1에게 wanserver-1에 대해 자가 인증을 요구할 수 있습니다. 설치에서 클라이언트 인증을 사용 가능하게 하려면 클라이언트 인증서와 개인 키를 /etc/netboot 계층 구조의 하위 디렉토리에 배치합니다.

클라이언트에 개인 키 및 인증서를 제공하려면 다음 작업을 수행합니다.

• 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

• PKCS#12 파일을 개인 키와 클라이언트 인증서로 분할합니다.

• 클라이언트의 certstore 파일에 해당 인증서를 삽입합니다.

• 개인 키를 클라이언트의 keystore 파일에 삽입합니다.

이 예에서는 웹 서버 사용자 역할로 nobody를 가정합니다. 그런 다음 cert.p12라는 이름의 서버 PKCS#12 인증서를 분할합니다. 인증서를 wanclient-1의 /etc/netboot 계층 구조에 삽입합니다. 그런 다음 wanclient.key라는 이름의 개인 키를 클라이언트의 keystore 파일에 삽입합니다.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

서버 및 클라이언트용 키 만들기

서버와 클라이언트간에 전송된 데이터를 보호하려면 해싱 키와 암호 키를 만듭니다. 서버에서는 해싱 키를 사용하여 wanboot 프로그램의 무결성을 보호합니다. 서버에서는 암호 키를 사용하여 구성 및 설치 데이터를 암호화합니다. 클라이언트는 해싱 키를 사용하여 다운로드한 wanboot 프로그램의 무결성을 검사합니다. 클라이언트는 암호 키를 사용하여 설치 도중 데이터를 해독합니다.

먼저 웹 서버 사용자와 동일한 사용자 역할을 가정합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

wanserver-1# su nobody
Password:

그런 다음 wanbootutil keygen 명령을 사용하여 wanserver-1에 대한 마스터 HMAC SHA1 키를 만듭니다.

wanserver-1# wanbootutil keygen -m

그런 다음 wanclient-1에 대한 해싱 키와 암호 키를 만듭니다.

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

이전 명령으로 wanclient-1에 대한 HMAC SHA1 해싱 키와 3DES 암호 키가 만들어집니다. 192.168.198.0은 wanclient-1의 서브넷을 지정하고 010003BA152A42는 wanclient-1의 클라이언트 ID를 지정합니다.

Solaris Flash 아카이브 만들기

이 예에서는 wanserver-1 마스터 시스템을 복제하여 Solarish Archive 아카이브를 만듭니다. 아카이브의 이름은 sol_10_sparc이며 마스터 시스템에서 정확히 복사됩니다. 아카이브는 마스터 시스템의 정확한 복제본입니다. 아카이브는 sol_10_sparc.flar에 저장됩니다. 아카이브를 WAN 부트 서버에 있는 문서 루트 디렉토리의 flash/archives 하위 디렉토리에 저장합니다.

wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

sysidcfg 파일 만들기

wanclient-1 시스템을 사전 구성하려면 sysidcfg 파일에 키워드와 값을 지정합니다. 이 파일을 wanserver-1 문서 루트 디렉토리의 하위 디렉토리에 저장합니다.

예 14–1 client-1 시스템용 sysidcfg 파일

다음 예는 wanclient-1용 sysidcfg 파일입니다. 이 시스템의 호스트 이름, IP 주소 및 넷마스크는 이름 지정 서비스를 편집하여 미리 구성되었습니다. 이 파일의 위치는 /opt/apache/htdocs/flash/ 디렉토리입니다.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

클라이언트 프로필 만들기

wanclient-1 시스템의 경우 wanclient_1_prof라는 이름의 프로필을 만듭니다. wanclient_1_prof 파일에는 wanclient-1 시스템에 설치할 현재 Solaris 릴리스소프트웨어를 정의하는 다음 항목이 들어 있습니다.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

다음 목록에서는 이 예의 일부 키워드와 값에 대해 설명합니다.

install_type

프로필이 복제 시스템에서 Solaris Flash 아카이브를 설치합니다. 초기 설치와 마찬가지로 모든 파일을 덮어씁니다.

archive_location

압축된 Solaris Flash 아카이브를 wanserver-1에서 검색합니다.

partitioning

파일 시스템 슬라이스는 filesys 키워드, 값 explicit에 의해 결정됩니다. 루트(/)의 크기는 Solaris Flash 아카이브의 크기를 기준으로 합니다. swap의 크기는 필요한 크기로 설정되고 c0t1d0s1에 설치됩니다. /export/home은 남은 디스크 공간을 기준으로 합니다. /export/home은 c0t1d0s7에 설치됩니다.

rules 파일 만들기 및 검증

사용자 정의 JumpStart 프로그램은 rules 파일을 사용하여 wanclient-1 시스템에 대한 올바른 설치 프로필을 선택합니다. rules라는 이름의 텍스트 파일을 만듭니다. 그런 다음 이 파일에 키워드와 값을 추가합니다.

wanclient-1 시스템의 IP 주소는 192.168.198.210이며 넷마스크는 255.255.255.0입니다. 사용자 정의 JumpStart 프로그램이 wanclient-1을 설치할 때 사용해야 하는 프로필을 지정하려면 network 규칙 키워드를 사용합니다.

network 192.168.198.0 - wanclient_1_prof - 

이 rules 파일은 사용자 정의 JumpStart 프로그램이 wanclient_1_prof을 사용하여 wanclient-1에 현재 Solaris 릴리스 소프트웨어를 설치하도록 지시합니다.

이 규칙 파일의 이름을 wanclient_rule로 지정합니다.

프로필과 rules 파일을 만든 다음 check 스크립트를 실행하여 파일이 유효한지 검증합니다.

wanserver-1# ./check -r wanclient_rule

check 스크립트가 오류를 발견하지 않으면 스크립트는 rules.ok 파일을 작성합니다.

rules.ok 파일을 /opt/apache/htdocs/flash/ 디렉토리에 저장합니다.

시스템 구성 파일 만들기

설치 서버에 있는 sysidcfg 파일 및 사용자 정의 JumpStart 파일의 위치를 나열하는 시스템 구성 파일을 만듭니다. 이 파일을 WAN 부트 서버에서 액세스할 수 있는 디렉토리에 저장합니다.

다음 예에서 wanboot-cgi 프로그램은 WAN 부트 서버의 문서 루트 디렉토리에서 sysidcfg 및 사용자 정의 JumpStart 파일을 찾습니다. WAN 부트 서버의 도메인 이름은 https://www.example.com입니다. WAN 부트 서버는 보안 HTTP를 사용하여 설치 도중 데이터와 파일을 보호하도록 구성됩니다.

이 예에서 시스템 구성 파일은 이름이 sys-conf.s10–sparc이며 WAN 부트 서버의 /etc/netboot 계층에 저장됩니다. sysidcfg 및 사용자 정의 JumpStart 파일은 문서 루트 디렉토리의 flash 하위 디렉토리에 위치합니다.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

wanboot.conf 파일 만들기

WAN 부트에서는 wanboot.conf 파일에 포함된 구성 정보를 사용하여 클라이언트 시스템을 설치합니다. 텍스트 편집기로 wanboot.conf 파일을 만듭니다. WAN 부트 서버의 /etc/netboot 계층 구조에 있는 해당하는 클라이언트 하위 디렉토리로 파일을 저장합니다.

wanclient-1의 다음 wanboot.conf 파일에는 보안 HTTP를 사용하는 WAN 설치를 위한 구성 정보가 포함되어 있습니다. 이 파일도 WAN 부트에서 HMAC SHA1 해싱 키와 3DES 암호 키를 사용하여 데이터를 보호하도록 지시합니다.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

이 wanboot.conf 파일은 다음 구성을 지정합니다.

boot_file=/wanboot/wanboot.s10_sparc

wanboot 프로그램의 이름은 wanboot.s10_sparc입니다. 이 프로그램은 wanserver-1의 문서 루트 디렉토리에 있는 wanboot 디렉토리에 있습니다.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

wanserver-1에서 wanboot-cgi 프로그램의 위치는 https://www.example.com/cgi-bin/wanboot-cgi입니다. URL의 https 부분은 이 WAN 부트 설치에서 보안 HTTP를 사용함을 나타냅니다.

root_file=/miniroot/miniroot.s10_sparc

WAN 부트 미니루트의 이름은 miniroot.s10_sparc입니다. 미니루트는 wanserver-1의 문서 루트 디렉토리에 있는 miniroot 디렉토리에 있습니다.

signature_type=sha1

wanboot 프로그램과 WAN 부트 파일 시스템은 HMAC SHA1 해싱 키를 사용하여 서명됩니다.

encryption_type=3des

wanboot 프로그램과 WAN 부트 파일 시스템은 3DES 키를 사용하여 암호화됩니다.

server_authentication=yes

설치 도중 서버가 인증됩니다.

client_authentication=no

설치 도중 클라이언트는 인증되지 않습니다.

---

주 –

(선택 사항) 클라이언트 인증용 개인 키 및 인증서 사용의 작업을 수행한 경우 이 매개 변수를 client_authentication=yes로 설정합니다.

---

resolve_hosts=

WAN 설치를 수행하기 위해 추가 호스트 이름은 필요하지 않습니다. wanboot-cgi 프로그램에 필요한 모든 호스트 이름은 wanboot.conf 파일과 클라이언트 인증서에 지정되어 있습니다.

boot_logger=

부트 및 설치 로그 메시지가 시스템 콘솔에 표시됩니다. (선택 사항) WAN 부트 서버를 로깅 서버로 구성의 로깅 서버를 구성했으며 또한 WAN 부트 서버에 WAN 부트 메시지를 표시하도록 하려면 이 매개 변수를 boot_logger=https://www.example.com/cgi-bin/bootlog-cgi로 설정합니다.

system_conf=sys-conf.s10–sparc

sysidcfg 및 JumpStart 파일의 위치를 지정하는 시스템 구성 파일은 wanserver-1의 /etc/netboot 계층에 있는 sys-conf.s10–sparc 파일에 있습니다.

이 예에서는 wanserver-1의 /etc/netboot/192.168.198.0/010003BA152A42 디렉토리에 wanboot.conf 파일을 저장합니다.

OBP의 net 장치 별명 확인

boot net를 사용하여 WAN에서 클라이언트를 부트하려면 net 장치 별칭을 클라이언트의 기본 네트워크 장치로 설정해야 합니다. 클라이언트 ok 프롬프트에서 devalias 명령을 입력하여 net 별칭이 기본 네트워크 장치 /pci@1f,0/pci@1,1/network@c,1로 설정되었는지 확인합니다.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

위 출력 예에서는 기본 네트워크 장치 /pci@1f,0/pci@1,1/network@c,1이 net 별칭에 지정됩니다. 별명을 재설정할 필요는 없습니다.

클라이언트에 키 설치

서버 및 클라이언트용 키 만들기에서 설치하는 동안 데이터를 보호할 해싱 키와 암호화 키를 만들었습니다. 클라이언트가 설치 도중 wanserver-1에서 전송된 데이터를 해독할 수 있게 하려면 wanclient-1에 이 키를 설치합니다.

wanserver-1에서 키 값을 표시합니다.

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 예에서는 다음 정보를 사용합니다.

net=192.168.198.0

클라이언트 서브넷의 IP 주소를 지정합니다.

cid=010003BA152A42

클라이언트의 ID를 지정합니다.

b482aaab82cb8d5631e16d51478c90079cc1d463

클라이언트의 HMAC SHA1 해싱 키 값을 지정합니다.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

클라이언트의 3DES 암호 키 값을 지정합니다.

설치에 AES 암호화 키를 사용하는 경우에는 type=3des를 type=aes로 변경하여 암호화 키 값을 표시합니다.

wanclient-1의 ok 프롬프트에서 키를 설치합니다.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

위 명령으로 다음 작업을 수행합니다.

• b482aaab82cb8d5631e16d51478c90079cc1d463 값을 가진 HMAC SHA1 해싱 키를 wanclient-1에 설치합니다.

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 값을 가진 3DES 암호 키를 wanclient-1에 설치합니다.

클라이언트 설치

ok 프롬프트에서 wanclient-1에 대한 네트워크 부트 인자 변수를 설정한 다음 클라이언트를 부트하여 무인 설치를 수행할 수 있습니다.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

다음 변수가 설정됩니다.

• 클라이언트 IP 주소는 192.168.198.210으로 설정됩니다.

• 클라이언트의 라우터 IP 주소는 192.168.198.1로 설정됩니다.

• 클라이언트의 서브넷 마스크는 255.255.255.0으로 설정됩니다.

• 클라이언트의 호스트 이름은 wanclient-1로 설정됩니다.

• wanboot-cgi 프로그램은 http://192.168.198.2/cgi-bin/wanboot-cgi에 있습니다.

클라이언트는 WAN을 통해 설치합니다. wanboot 프로그램에서 필요한 설치 정보를 모두 찾지 못할 경우 명령줄에서 빠진 정보를 제공하라는 메시지가 표시될 수 있습니다.

15장 WAN 부트(참조)

이 장에서는 WAN을 설치할 때 사용하는 명령과 파일에 대해 간단히 설명합니다.

• WAN 부트 설치 명령

• OBP 명령

• 시스템 구성 파일 설정 및 구문

• wanboot.conf 파일 매개 변수 및 구문

WAN 부트 설치 명령

다음 표에서는 WAN 부트 설치를 수행할 때 사용하는 명령을 설명합니다.

• 표 15–1

• 표 15–2

OBP 명령

다음 표에서는 WAN 부트 설치를 수행하기 위해 클라이언트 ok 프롬프트에 입력하는 OBP 명령을 나열합니다.

시스템 구성 파일 설정 및 구문

시스템 구성 파일을 사용하면 WAN 부트 설치 프로그램을 다음 파일로 전송할 수 있습니다.

• sysidcfg

• rules.ok

• 사용자 정의 JumpStart 프로필

시스템 구성 파일은 일반 텍스트 파일이므로 다음 패턴으로 포맷되어야 합니다.

setting=value

system.conf 파일에 반드시 다음 설정이 있어야 합니다.

SsysidCF=sysidcfg-file-URL

이 설정은 sysidcfg 파일이 포함된 설치 서버의 디렉토리를 가리킵니다. HTTPS를 사용하는 WAN 설치의 경우 해당 값을 유효한 HTTPS URL로 설정합니다.

SjumpsCF=jumpstart-files-URL

이 설정은 rules.ok와 프로필 파일이 있는 사용자 정의 JumpStart 디렉토리를 가리킵니다. HTTPS를 사용하는 WAN 설치의 경우 해당 값을 유효한 HTTPS URL로 설정합니다.

WAN 부트 서버에 액세스할 수 있는 모든 디렉토리에 system.conf를 저장할 수 있습니다.

wanboot.conf 파일 매개 변수 및 구문

wanboot.conf 파일은 WAN을 설치하기 위해 WAN 부트 설치 프로그램이 사용하는 일반 텍스트 구성 파일입니다. 다음 프로그램과 파일은 wanboot.conf 파일에 포함된 정보를 사용하여 클라이언트 시스템을 설치합니다.

• wanboot-cgi 프로그램

• WAN 부트 파일 시스템

• WAN 부트 미니루트

wanboot.conf 파일을 WAN 부트 서버의 /etc/netboot 계층에 있는 적절한 클라이언트 하위 디렉토리에 저장합니다. /etc/netboot 계층으로 WAN 부트 설치의 범위를 정의하는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

매개 변수를 연관된 값과 함께 다음 형식으로 나열하여 wanboot.conf 파일에 정보를 지정합니다.

parameter=value

매개 변수 항목은 여러 행에 걸쳐 있을 수 없습니다. 주석 앞에 # 문자를 삽입하여 해당 파일에 주석을 포함할 수 있습니다.

wanboot.conf 파일에 대한 자세한 내용은 wanboot.conf(4) 매뉴얼 페이지를 참조하십시오.

반드시 wanboot.conf 파일에 다음 매개 변수를 설정해야 합니다.

boot_file=wanboot-path

이 매개 변수는 wanboot 프로그램의 경로를 지정합니다. 해당 값은 WAN 부트 서버에 있는 문서 루트 디렉토리에 상대적인 경로입니다.

boot_file=/wanboot/wanboot.s10_sparc

root_server=wanbootCGI-URL /wanboot-cgi

이 매개 변수는 WAN 부트 서버에 있는 wanboot-cgi 프로그램의 URL을 지정합니다.

• 클라이언트나 서버 인증 없이 WAN 부트 설치를 수행하려면 HTTP URL을 사용합니다.

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• 서버 인증 또는 서버 및 클라이언트 인증을 사용하는 WAN 부트를 설치하는 경우 HTTPS URL을 사용합니다.

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=miniroot-path

이 매개 변수는 WAN 부트 서버의 WAN 부트 미니루트 경로를 지정합니다. 해당 값은 WAN 부트 서버에 있는 문서 루트 디렉토리에 상대적인 경로입니다.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | empty

이 매개 변수는 전송되는 데이터 및 파일의 무결성을 확인하는 데 사용하는 해싱 키의 유형을 지정합니다.

• wanboot 프로그램을 보호하기 위해 해싱 키를 사용하는 WAN 부트 설치의 경우 이 값을 sha1로 설정합니다.

  signature_type=sha1

• 해싱 키를 사용하지 않는 비보안 WAN 설치의 경우 이 값을 비워 둡니다.

  signature_type=

encryption_type=3des | aes | empty

이 매개 변수는 암호 유형을 지정하여 wanboot 프로그램 및 WAN 부트 파일 시스템 암호화에 사용합니다.

• HTTPS를 사용하는 WAN 부트 설치의 경우 이 값을 3des나 aes로 설정하여 사용하는 키 형식에 일치시킵니다. 또한 signature_type 키워드 값을 sha1로 설정해야 합니다.

  encryption_type=3des

  또는

  encryption_type=aes

• 암호화 키를 사용하지 않는 비보안 WAN 설치의 경우 이 값을 빈 값으로 둡니다.

  encryption_type=

server_authentication=yes | no

이 매개 변수는 WAN 부트를 설치하는 동안 서버의 인증 여부를 지정합니다.

• 서버 인증이나 서버 및 클라이언트 인증을 사용하는 WAN 부트 설치의 경우 이 값을 yes로 설정합니다. 또한 signature_type의 값을 sha1로, encryption_type을 3des나 aes로, root_server의 URL을 HTTPS 값으로 설정해야 합니다.

  server_authentication=yes

• 서버 인증 또는 서버 및 클라이언트 인증을 사용하지 않는 비보안 WAN 부트 설치의 경우 이 값을 no로 설정합니다. 이 값을 비워 둘 수도 있습니다.

  server_authentication=no

client_authentication=yes | no

이 매개 변수는 WAN 부트를 설치하는 동안 클라이언트의 인증 여부를 지정합니다.

• 서버 및 클라이언트 인증을 사용하여 WAN 부트 설치를 하는 경우 이 값을 yes로 설정합니다. 또한 signature_type의 값을 sha1로, encryption_type을 3des나 aes로, root_server의 URL을 HTTPS 값으로 설정해야 합니다.

  client_authentication=yes

• 클라이언트 인증을 사용하지 않는 WAN 부트 설치의 경우 이 값을 no로 설정합니다. 이 값을 비워 둘 수도 있습니다.

  client_authentication=no

resolve_hosts=hostname | empty

이 매개 변수는 설치하는 동안 wanboot-cgi 프로그램에 대하여 변환될 필요가 없는 추가 호스트를 지정합니다.

이 값을 wanboot.conf 파일이나 클라이언트 인증서에 이전에 지정되지 않은 시스템의 호스트 이름으로 설정합니다.

• 필요한 호스트가 wanboot.conf 파일이나 클라이언트 인증서에 모두 나열되어 있는 경우에는 이 값을 비워 둡니다.

  resolve_hosts=

• wanboot.conf 파일 또는 클라이언트 인증서의 목록에 특정 호스트가 없는 경우 값을 해당 호스트 이름으로 설정합니다.

  resolve_hosts=seahag,matters

boot_logger=bootlog-cgi-path | empty

이 매개 변수는 로깅 서버에 있는 bootlog-cgi 스크립트의 URL을 지정합니다.

• 부트나 설치 로그 메시지를 전용 로깅 서버에 기록하려면 해당 값을 로깅 서버에 있는 bootlog-cgi 스크립트의 URL로 설정합니다.

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• 클라이언트 콘솔에 부트 및 설치 메시지를 표시하려면 이 값을 비워 둡니다.

  boot_logger=

system_conf=system.conf | custom-system-conf

이 매개 변수는 sysidcfg와 사용자 정의 JumpStart 파일의 위치가 들어 있는 시스템 구성 파일에 대한 경로를 지정합니다.

해당 값을 웹 서버의 sysidcfg와 사용자 정의 JumpStart 파일에 대한 경로로 설정합니다.

system_conf=sys.conf