本章说明了如何准备您的网络以进行 WAN Boot 安装。本章包括以下主题。
系统和描述 |
要求 |
---|---|
WAN Boot 服务器-WAN Boot 服务器是 Web 服务器,它可以提供 wanboot 程序、配置文件和安全文件以及 WAN Boot Miniroot。 |
|
如果安装服务器是不同于 WAN Boot 服务器的系统,则安装服务器必须满足以下附加要求。
|
|
|
|
如果您使用的是 SunOS DHCP 服务器,则必须执行以下任务之一。
如果 DHCP 服务器位于不同于此客户机的其他子网中,则您必须配置 BOOTP 中继代理。有关如何配置 BOOTP 中继代理的更多信息,请参见《系统管理指南:IP 服务》中的第 14 章 “配置 DHCP 服务(任务)”。 |
|
(可选)日志服务器-缺省情况下,在 WAN 安装期间,所有引导和安装日志消息都会显示在客户机控制台上。如果要在其他系统上查看这些消息,您可以将一个系统指定为日志服务器。 |
必须将其配置为 Web 服务器。 注 – 如果在安装过程中使用 HTTPS,则日志服务器与 WAN Boot 服务器必须为同一个系统。 |
如果安装使用 HTTPS,则必须将代理服务器配置为隧道 HTTPS。 |
您在 WAN Boot 服务器和安装服务器中使用的 Web 服务器软件必须满足以下要求。
操作系统要求-WAN Boot 提供公共网关接口 (Common Gateway Interface, CGI) 程序 (wanboot-cgi),该程序能够将数据和文件转换为客户机所期望的特定格式。要使用这些脚本执行 WAN Boot 安装,Web 服务器软件必须运行于 Solaris 9 12/03 OS 或兼容版本。
文件大小限制-您的 Web 服务器软件可能会限制您可以通过 HTTP 进行传输的文件的大小。检查您的 Web 服务器文档以确保软件可以传输与 Solaris Flash 归档文件大小相同的文件。
flarcreate 命令不再对单个文件进行大小限制。您可以创建包含超过 4 GB 的单个文件的 Solaris Flash 归档文件。
有关更多信息,请参见《Oracle Solaris 10 9/10 安装指南:Solaris Flash 归档文件(创建和安装)》中的“创建包含大文件的归档文件”。
您可以自定义 WAN Boot 所需的服务器的配置以满足您的网络需要。您可以将所有服务器放在一个系统上,或者将这些服务器放在多个系统上。
单服务器 – 如果您要将 WAN Boot 数据和文件集中在一个系统上,则可以将所有服务器放在同一台计算机上。您可以在一个系统上管理所有不同的服务器,并且您只需要将一个系统配置为 Web 服务器。但是,单个服务器可能不支持同时进行大量 WAN Boot 安装所需的通信量。
多服务器 – 如果您要在网络中分发安装数据和文件,则可以将这些服务器放在多台计算机上。您可以设置一个中央 WAN Boot 服务器,并将多个安装服务器配置为放置网络中的多个 Solaris Flash 归档文件。如果您将安装服务器和日志服务器放在独立的计算机上,则必须将这些服务器配置为 Web 服务器。
wanboot-cgi 程序在 WAN Boot 安装过程中传输以下文件。
wanboot 程序
WAN Boot Miniroot
自定义 JumpStart 文件
Solaris Flash 归档文件
要启用 wanboot-cgi 程序以传输这些文件,您必须将这些文件存储在 Web 服务器软件可以访问的目录中。可访问这些文件的一种方法是将这些文件放在您的 Web 服务器上的文档根目录中。
文档根目录或主文档目录是 Web 服务器上存储客户机可访问的文件的目录。您可以在您的 Web 服务器软件中命名并配置此目录。关于在您的 Web 服务器上设置文档根目录的详细信息,请参见您的 Web 服务器文档。
您可能要创建文档根目录的不同子目录以存储不同的安装和配置文件。例如,您可能要为要安装的每组客户机创建特定的子目录。如果计划跨网络安装几个不同版本的 Solaris OS,可以为每个版本的系统创建子目录。
图 11–1 显示了文档根目录的基本结构样例。在此示例中,WAN Boot 服务器和安装服务器位于同一台计算机上。服务器运行的是 Apache Web 服务器软件。
此样例文档目录使用以下结构。
/opt/apache/htdocs 目录是文档根目录。
Solaris Flash (flash) 目录包含安装客户机和子目录 archives 所需的自定义 JumpStart 文件。archives 目录包含 当前 Solaris 发行版 Flash 归档文件。
如果 WAN Boot 服务器和安装服务器是不同的系统,则您可能要将 flash 目录存储在安装服务器上。请确保 WAN Boot 服务器可以访问这些文件和目录。
关于如何创建文档根目录的信息,请参见您的 Web 服务器文档。有关如何创建和存储这些安装文件的详细说明,请参见创建自定义 JumpStart 安装文件。
/etc/netboot 目录包含 WAN Boot 安装所需的配置信息、私钥、数字证书和认证机构。本节说明您可以在 /etc/netboot 目录中创建以自定义您的 WAN Boot 安装的文件和目录。
在安装过程中,wanboot-cgi 程序在 WAN Boot 服务器上的 /etc/netboot 目录中搜索客户机信息。wanboot-cgi 程序将此信息转换到 WAN Boot 文件系统中,然后将 WAN Boot 文件系统传输到客户机。您可以在 /etc/netboot 目录内创建子目录以自定义 WAN 安装的范围。使用以下目录结构可以定义如何在您要安装的客户机之间共享配置信息。
特定于网络的配置-如果只希望特定子网上的计算机共享配置信息,请将要共享的配置文件存储在 /etc/netboot 的子目录中。子目录应遵循以下命名约定。
/etc/netboot/net-ip |
在此示例中,net-ip 是客户机子网的 IP 地址。例如,如果希望 IP 地址为 192.168.255.0 的子网上的所有系统都共享配置文件,请创建目录 /etc/netboot/192.168.255.0。然后,将配置文件存储在此目录中。
特定于客户机的配置-如果只希望特定客户机使用引导文件系统,请将引导文件系统文件存储在 /etc/netboot 的子目录中。子目录应遵循以下命名约定。
/etc/netboot/net-ip/client-ID |
在此示例中,net-ip 是子网的 IP 地址。client-ID 是由 DHCP 服务器指定的客户机 ID,或者是用户指定的客户机 ID。例如,如果希望子网 192.168.255.0 上客户机 ID 为 010003BA152A42 的系统使用特定配置文件,请创建目录 /etc/netboot/192.168.255.0/010003BA152A42。然后,将相应的文件存储在此目录中。
通过创建以下文件并将这些文件存储在 /etc/netboot 目录中,可以指定安全和配置信息。
系统配置文件 (system.conf)-此系统配置文件指定客户机的 sysidcfg 文件和自定义 JumpStart 文件的位置。
keystore-此文件包含客户机的 HMAC SHA1 散列密钥、3DES 或 AES 加密密钥,以及 SSL 私钥。
truststore-此文件包含客户机应当信任的证书签名机构颁发的数字证书。这些受信任证书指示客户机在安装过程中信任服务器。
certstore 文件必须位于客户机 ID 目录中。有关 /etc/netboot 目录的子目录的更多信息,请参见自定义 WAN Boot 安装的范围。
关于如何创建和存储这些文件的详细说明,请参见以下过程。
要在您的网络上安装客户机,可能要在若干个不同的客户机之间或在整个子网上共享安全和配置文件。通过在 /etc/netboot/net-ip/ client-ID、/etc/netboot/net-ip 和 /etc/netboot 目录中分发配置信息,您可以共享这些文件。wanboot-cgi 程序搜索这些目录以查找最适合客户机的配置信息,并在安装过程中使用该信息。
/etc/netboot/net-ip/client-ID-wanboot-cgi 程序首先检查特定于客户机的配置信息。如果 /etc/netboot/net-ip/client-ID 目录包含所有客户机配置信息,则 wanboot-cgi 程序不检查 /etc/netboot 目录中其他位置的配置信息。
/etc/netboot/net-ip-如果 /etc/netboot/net-ip/client-ID 目录中未包含所有的必需信息,wanboot-cgi 程序会检查 /etc/netboot/net-ip 目录中的子网配置信息。
/etc/netboot-如果剩余的信息不在 /etc/netboot/net-ip 目录中,则 wanboot-cgi 程序会检查 /etc/netboot 目录中的全局配置信息。
图 11–2 说明了如何设置 /etc/netboot 目录以自定义 WAN Boot 安装。
通过图 11–2 中的 /etc/netboot 目录布局,您可以执行以下 WAN Boot 安装。
当您安装客户机 010003BA152A42 时,wanboot-cgi 程序使用 /etc/netboot/192.168.255.0/010003BA152A42 目录中的以下文件。
system.conf
keystore(密钥库)
truststore
certstore
wanboot-cgi 程序随后使用 /etc/netboot/192.168.255.0 目录中的 wanboot.conf 文件。
当您安装的客户机位于 192.168.255.0 子网上时,wanboot-cgi 程序将使用 /etc/netboot/192.168.255.0 目录中的 wanboot.conf、keystore 和 truststore 文件。wanboot-cgi 程序随后使用 /etc/netboot 目录中的 system.conf 文件。
当您安装的客户机不在 192.168.255.0 子网上时,wanboot-cgi 程序将使用 /etc/netboot 目录中的以下文件。
wanboot.conf
system.conf
keystore(密钥库)
truststore
wanboot-cgi 程序将数据和文件从 WAN Boot 服务器传输到客户机。您必须确保该程序位于客户机可以访问的 WAN Boot 服务器上的目录中。使客户机可以访问此程序的一种方法是将此程序存储在 WAN Boot 服务器的 cgi-bin 目录中。可能需要配置 Web 服务器软件以将 wanboot-cgi 程序用作 CGI 程序。有关 CGI 程序要求的信息,请参见您的 Web 服务器文档。
如果要在 WAN Boot 安装中添加安全保护,可以使用数字证书来启用服务器和客户机认证。WAN Boot 在联机事务中可以使用数字证书建立服务器或客户机的标识。数字证书由认证机构 (CA) 颁发。这些证书包含序列号、终止日期、一份证书持有者的公共密钥和认证机构的数字签名。
如果在您的安装过程中需要服务器或客户机和服务器认证,则您必须在服务器上安装数字证书。使用数字证书时请遵循以下标准。
如果您要使用数字证书,则必须将数字证书格式化为公共密钥加密标准 #12 (PKCS#12) 文件的一部分。
如果您创建自己的证书,则必须将证书创建为 PKCS#12 文件。
如果您从第三方证书颁发机获取您的证书,请请求 PKCS#12 格式的证书。
有关如何在 WAN Boot 安装过程中使用 PKCS#12 证书的详细说明,请参见(可选)使用数字证书进行服务器和客户机认证。
当 WAN Boot 提供若干不同的安全功能时,WAN Boot 将忽略这些潜在的不安全性。
拒绝服务 (Denial of service, DoS) 攻击-拒绝服务攻击可以采取多种形式,目标是阻止用户访问特定服务。DoS 攻击可以用大量数据破坏网络或侵略性地消耗有限的资源。其他 DoS 攻击在转换时控制系统间传输的数据。WAN Boot 安装方法不保护服务器或客户机免受 DoS 攻击。
服务器上被破坏的二进制-在执行安装之前,WAN Boot 安装方法不检查 WAN Boot Miniroot 或 Solaris Flash 归档文件的完整性。执行安装之前,请对照位于 http://sunsolve.sun.com 的 Solaris 指纹数据库检查您的 Solaris 二进制文件的完整性。
加密密钥和散列密钥保密性-如果您将加密密钥或散列密钥与 WAN Boot 配合使用,则必须在安装过程中在命令行中键入密钥值。请为您的网络采取必要的预防措施,以确保这些密钥值保持其保密性。
网络命名服务的泄漏-如果您在网络上使用命名服务,在执行 WAN Boot 安装之前,请检查名称服务器的完整性。
您需要为 WAN Boot 安装收集多种信息,以配置您的网络。在准备通过 WAN 进行安装时,您可能需要记下该信息。
使用以下工作表记录您的网络的 WAN Boot 安装信息。
表 11–2 用于收集服务器信息的工作表表 11–3 用于收集客户机信息的工作表
信息 |
说明 |
---|---|
客户机子网的 IP 地址 |
|
客户机路由器的 IP 地址 |
|
客户机的 IP 地址 |
|
客户机的子网掩码 |
|
客户机的主机名 |
|
客户机的 MAC 地址 |
|