test

Oracle Solaris 10 9/10 安装指南:基于网络的安装

WAN Boot 工作原理(概述)

WAN Boot 使用服务器、配置文件、公共网关接口 (CGI) 程序以及安装文件的组合来安装基于 SPARC 的远程客户机。本节说明了 WAN Boot 安装中的一般事件序列。

WAN Boot 安装中的事件序列

图 10–1 显示了 WAN Boot 安装的基本事件序列。在此图中,基于 SPARC 的客户机通过 WAN 从 Web 服务器和安装服务器检索配置数据和安装文件。

图 10–1 WAN Boot 安装中的事件序列

文中对该图形进行了说明。

  1. 可以通过以下方式之一引导客户机。

    • 通过在 Open Boot PROM (OBP) 中设置网络接口变量,从网络引导。

    • 使用 DHCP 选项从网络引导。

    • 从本地 CD-ROM 引导。

  2. 客户机 OBP 包含来自以下来源之一的配置信息。

    • 用户在命令行中键入的引导参数值

    • 来自 DHCP 服务器(如果网络使用 DHCP)

  3. 客户机 OBP 请求 WAN Boot 二级引导程序 (wanboot)。

    客户机 OBP 从以下源下载 wanboot 程序。

    • 来自称作 WAN Boot 服务器的特定 Web 服务器(使用超文本传输协议 [HTTP])

    • 来自本地 CD-ROM(此图未显示)

  4. wanboot 程序从 WAN Boot 服务器请求客户机配置信息。

  5. wanboot 程序通过 wanboot-cgi 程序从 WAN Boot 服务器下载配置文件。该配置文件作为 WAN Boot 文件系统被传输到客户机。

  6. wanboot 程序请求从 WAN Boot 服务器下载 WAN Boot Miniroot。

  7. wanboot 程序使用 HTTP 或安全 HTTP 从 WAN Boot 服务器下载 WAN Boot Miniroot。

  8. wanboot 程序从 WAN Boot Miniroot 装入和执行 UNIX 内核。

  9. UNIX 内核通过 Solaris 安装程序来定位和挂载 WAN Boot 文件系统。

  10. 安装程序请求从安装服务器下载 Solaris Flash 归档文件和自定义 JumpStart 文件。

    安装程序通过 HTTP 或 HTTPS 连接来下载归档文件和自定义 JumpStart 文件。

  11. 安装程序执行自定义 JumpStart 安装以将 Solaris Flash 归档文件安装到客户机上。

在 WAN Boot 安装期间保护数据

WAN Boot 安装方法使您可以使用散列密钥、加密密钥以及数字证书来在安装期间保护系统数据。本节简要说明了 WAN Boot 安装方法支持的不同数据保护方法。

使用散列密钥检查数据的完整性

要保护从 WAN Boot 服务器传输到客户机的数据,可以生成散列消息验证代码 (Hashed Message Authentication Code, HMAC) 密钥。将此散列密钥安装在 WAN Boot 服务器和客户机上。WAN Boot 服务器使用此密钥标记传输到客户机的数据。然后,客户机使用此密钥检验 WAN Boot 服务器传输的数据的完整性。将散列密钥安装到客户机后,客户机在将来安装 WAN Boot 时会使用此密钥。

有关如何使用散列密钥的说明,请参见(可选)创建一个散列密钥和一个加密密钥

使用加密密钥加密数据

使用 WAN Boot 安装方法,可以加密从 WAN Boot 服务器传输到客户机的数据。您可以使用 WAN Boot 公用程序创建三重数据加密标准 (3DES) 或高级加密标准 (AES) 加密密钥。然后,可以将此密钥提供给 WAN Boot 服务器和客户机。WAN Boot 使用此加密密钥加密要从 WAN Boot 服务器发送到客户机的数据。客户机可以使用此密钥解密安装期间传输的加密的配置文件和安全文件。

一旦将加密密钥安装到客户机,客户机将在将来安装 WAN Boot 时使用此密钥。

您的站点可能不允许使用加密密钥。要确定您的站点是否允许加密,请询问站点的安全管理员。如果您的站点允许加密,请询问您的安全管理员应当使用哪种加密密钥,是 3DES 还是 AES。

有关如何使用加密密钥的说明,请参见(可选)创建一个散列密钥和一个加密密钥

使用 HTTPS 保护数据

WAN Boot 支持使用通过安全套接字层 (HTTPS) 的 HTTP 以在 WAN Boot 服务器和客户机之间传输数据。通过使用 HTTPS,您可以要求服务器或服务器和客户机在安装期间进行自我认证。HTTPS 也加密安装期间从服务器传送到客户机的数据。

HTTPS 使用数字证书认证通过网络交换数据的系统。数字证书是一个文件,用于将系统(服务器或客户机)标识为联机通信期间可以信任的系统。您可以向外部认证机构请求数字证书,或创建您自己的证书和认证机构。

要使客户机信任服务器并接受来自服务器的数据,您必须在服务器上安装数字证书。然后,您可以指示客户机信任此证书。您可以通过向客户机提供数字证书来要求客户机向服务器做自我认证。然后,您可以指示服务器当客户机在安装期间出示证书时接受证书的签名者。

要在安装期间使用数字证书,您必须配置 Web 服务器使用 HTTPS。有关如何使用 HTTPS 的信息,请参见 Web 服务器文档。

有关在 WAN Boot 安装期间使用数字证书的要求的信息,请参见数字证书要求。有关如何在 WAN Boot 安装期间使用数字证书的说明,请参见(可选)使用数字证书进行服务器和客户机认证