Este capítulo descreve como preparar a sua rede para uma instalação inicialização WAN. Este capítulo descreve os tópicos a seguir.
A seção descreve os requisitos do sistema para executar uma instalação inicialização WAN.
Tabela 11–1 Requisitos do sistema para instalação de inicialização WAN
Sistema e descrição |
Requisitos |
---|---|
servidor de inicialização WAN: o servidor de inicialização WAN é um servidor da Web que fornece o programa wanboot dos arquivos de configuração e segurança e a miniraiz de inicialização WAN. |
|
Servidor de instalação: o servidor de instalação fornece o documento Solaris Flash e arquivos do JumpStart personalizados necessários para instalar o cliente. |
Se o servidor de instalação for um sistema diferente do servidor de inicialização WAN, o servidor de instalação deve atender esses requisitos adicionais.
|
Sistema cliente: o sistema remoto que você deseja instalar sobre uma WAN |
|
(opcional) servidor DHCP: você pode utilizar um servidor DHCP para fornecer informações de configuração de cliente. |
Se você estiver utilizando um servidor DHCP da SunOS, é necessário executar uma das etapas a seguir.
Se o servidor DHCP estiver em uma subrede diferente da do cliente, você deve configurar um agente de relé BOOTP. Para mais informações sobre como configurar um agente de relé BOOTP, consulte Capítulo 14, Configuring the DHCP Service (Tasks), no System Administration Guide: IP Services. |
(opcional) Servidor de registro: por padrão, todas as mensagens de registro de inicialização e instalação são exibidas no console cliente durante uma instalação de WAN. Se você desejar visualizar essas mensagens em outro sistema, é possível especificar um sistema para servir de servidor de registro. |
Deve ser configurado como um servidor da Web. Observação – Se você utilizar HTTPS durante a instalação, o servidor de registro deve ser o mesmo sistema do servidor de inicialização WAN. |
(opcional) Servidor proxy: você pode configurar o recurso de inicialização WAN para utilizar um proxy HTTP durante o download dos arquivos e dados de instalação. |
Se a instalação utilizar HTTPS, o servidor proxy deve ser configurado para ajustar HTTPS. |
O software do servidor da Web que você utiliza em seu servidor de inicialização WAN e o servidor de instalação devem atender aos requisitos a seguir.
Requisitos do sistema operacional: a inicialização WAN fornece um programa de Common Gateway Interface (CGI) (wanboot-cgi) que converte dados e arquivos para um formato específico esperado pela máquina cliente. Para executar uma instalação de inicialização WAN com esses scripts, o software do servidor da Web deve ser executado no Solaris 9 12/03 SO ou uma versão compatível.
Limitações de tamanho do arquivo: o seu software do servidor da Web poderá limitar o tamanho dos arquivos que você pode transmitir em HTTP. Verifique sua documentação do servidor da Web para certificar-se de que o software possa transmitir arquivos que sejam do tamanho de um documento Solaris Flash.
O comando flarcreate não possui mais limitações de tamanho ou arquivos individuais. É possível criar um arquivo Solaris Flash que contenha arquivos individuais acima de 4 GB.
Para maiores informações, consulte Criando um arquivo que contém arquivos grandes no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).
Suporte SSL: se você quiser utilizar HTTPS na sua instalação de inicialização WAN, o software do servidor da Web deve suportar a versão 3 do SSL.
Você pode personalizar a configuração dos servidores que são requeridos pela inicialização WAN para atender as necessidades da sua rede. É possível hospedar todos os servidores em um sistema ou colocar os servidores em vários sistemas.
Servidor único: se desejar centralizar os arquivos e dados de inicialização WAN em um sistema, você pode hospedar todos os servidores na mesma máquina. É possível administrar todos os seus servidores diferentes em um sistema, você só precisa configurar um sistema como servidor da Web. No entanto, um servidor único pode não ser capaz de suportar o volume de tráfego necessário para um grande número de instalações de inicialização WAN simultâneas.
Servidores diversos: se desejar distribuir os arquivos e dados de instalação por toda a sua rede, você pode hospedar esses servidores em máquinas diversas. É possível configurar um servidor de inicialização WAN central e configurar servidores de instalação diversos para hospedar os arquivos Solaris Flash por toda a rede. Se o servidor de instalação e o servidor de registro forem hospedados em máquinas independentes, é necessário configurar esses servidores como servidores da Web.
O programa wanboot-cgi transmite os arquivos a seguir durante uma instalação de inicialização WAN.
Programa wanboot
miniraiz de inicialização WAN
Arquivos JumpStart personalizados
Arquivo Solaris Flash
A fim de permitir que o programa wanboot-cgi transmita esses arquivos, você deve armazená-los em um diretório que seja acessível ao software do servidor da Web. Uma maneira de tornar esses arquivos acessíveis é colocá-los na raiz de documentos no servidor da Web.
A raiz de documentos, ou diretório de documentos primários, é o diretório no seu servidor da Web onde você armazena arquivos que você deseja disponibilizar aos clientes. É possível nomear e configurar esse diretório no software do servidor da Web. Consulte a documentação do servidor da Web para mais informações sobre a configuração do diretório raiz de documentos no servidor da Web.
Você pode querer criar diferentes subdiretórios do diretório raiz de documentos para armazenar seus diferentes arquivos de instalação e configuração. Por exemplo, você pode querer criar subdiretórios específicos para cada grupo de clientes que deseja instalar. Se planeja instalar várias versões diferentes do Solaris SO por toda a sua rede, você poderá criar subdiretórios para cada versão.
Figura 11–1 mostra uma estrutura básica de amostra para um diretório raiz de documentos. Nesse exemplo, o servidor de inicialização WAN e o servidor de instalação estão na mesma máquina. O servidor está executando o software de servidor da Web Apache.
Essa amostra de diretório de documentos utiliza a estrutura a seguir.
O diretório opt/apache/htdocs é o diretório raiz de documentos.
A miniraiz de inicialização WAN do diretório ( miniroot) contém a miniraiz de inicialização WAN.
O diretório (flash) do Solaris Flash contém os arquivos JumpStart personalizados necessários para instalar o cliente e os arquivos do subdiretório. O diretório de arquivos contém o arquivo Flash versão atual do Solaris.
Se o servidor de inicialização WAN e o servidor de instalação forem sistemas diferentes, você pode querer armazenar o diretório flashno servidor de instalação. Certifique-se de que esses arquivos e diretórios estejam acessíveis ao servidor de inicialização WAN.
Para informações sobre como criar o diretório raiz de documentos, consulte a documentação do seu servidor da Web. Para instruções detalhadas sobre como criar e armazenar esses arquivos de instalação, consulte Criando os arquivos de instalação do JumpStart Personalizado
O diretório /etc/netboot contém as informações de configuração, chave privada, certificado digital e autoridade de certificação exigidos para uma instalação de inicialização WAN. Esta sessão descreve os arquivos e diretórios que você pode criar no diretório/etc/netbootpara personalizar a sua instalação de inicialização WAN.
Durante a instalação, o programa wanboot-cgi procura por informações do cliente no diretório /etc/netboot no servidor de inicialização WAN. O programa wanboot-cgi converte essas informações para o sistema de arquivos de inicialização WAN e, em seguida, transmite o sistema de arquivos de inicialização WAN para o cliente. É possível criar subdiretórios dentro do diretório etc/netboot para personalizar o escopo da instalação WAN. Utilize as estruturas de diretório a seguir para definir como as informações de configuração são compartilhadas entre os clientes que você deseja instalar.
Configuração global: se você quiser que todos os clientes em sua rede compartilhem informações de configuração, armazene os arquivos que você deseja compartilhar no diretório /etc/netboot.
Configuração específica da rede: se você quiser que somente as máquinas em uma subrede específica compartilhem informações de configuração, armazene os arquivos de configuração que deseja compartilhar em um subdiretório de /etc/netboot. Faça com que o subdiretório siga essa convenção de nomenclatura.
/etc/netboot/net-ip |
Nesse exemplo, net-ip é o endereço de IP da subrede do cliente. Por exemplo, se você quiser que todos os sistemas na subrede com o endereço de IP 192.168.255.0 compartilhem arquivos de configuração, crie um diretório /etc/netboot/192.168.255.0. Em seguida, armazene os arquivos de configuração nesse diretório.
Configuração específica do cliente: se você quiser que apenas um cliente específico utilize o sistema de arquivos de inicialização, armazene os arquivos de sistema de arquivos de inicialização em um subdiretório de /etc/netboot. Faça com que o subdiretório siga essa convenção de nomenclatura.
/etc/netboot/net-ip/client-ID |
Nesse exemplo, net-ip é o endereço de IP da subrede. client-ID é a ID do cliente que é atribuído pelo servidor DHCP ou uma ID de cliente especificado pelo usuário. Por exemplo, se você quiser que um sistema com a ID de cliente 010003BA152A42 na subrede 192.168.255.0 utilize os arquivos de configuração específicos, crie um diretório /etc/netboot/192.168.255.0/010003BA152A42 . Em seguida, armazene os arquivos apropriados nesse diretório.
Você especifica as informações de segurança e configuração criando os arquivos a seguir e armazenando-os no diretório /etc/netboot.
wanboot.conf: esse arquivo especifica as informações de configuração do cliente para uma instalação de inicialização WAN.
Arquivo de configuração do sistema (system.conf): esse arquivo de configuração do sistema especifica o local do arquivo sysidcfg do cliente e dos arquivos JumpStart personalizados.
armazenamento de chave: esse arquivo contém a chave de hashing HMAC SHA1 do cliente, a chave de criptografia 3DES ou AES e a chave privada SSL.
truststore: esse arquivo contém os certificados digitais de autoridades que assinam certificados em que o cliente deve confiar. Esses certificados confiáveis instruem o cliente a confiar no servidor durante a instalação.
certstore: esse arquivo contém o certificado digital do cliente.
O arquivo certstore deve estar localizado no diretório da ID do cliente. Consulte Personalizando o escopo da instalação de inicialização WAN para mais informações sobre o /etc/netboot.
Para instruções detalhadas sobre como criar e armazenar esses arquivos, consulte os procedimentos a seguir.
(Opcional) Para criar uma chave de hashing e uma chave de criptografia
(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente
Para instalar clientes em sua rede, você pode querer compartilhar arquivos de segurança e configuração entre vários clientes diferentes ou em subredes completas. É possível compartilhar esses arquivos distribuindo suas informações de configuração pelos diretórios /etc/netboot/net-ip/client-ID, /etc/netboot/net-ip e /etc/netboot/. O programa wanboot-cgi busca, nesses diretórios, por informações de configuração que melhor se adaptam ao cliente e utiliza essas informações durante a instalação.
O programa wanboot-cgi busca por informações do cliente na ordem a seguir.
/etc/netboot/net-ip/ client-ID: o programa wanboot-cgi primeiro verifica as informações de configuração que são específicas da máquina do cliente. Se o diretório /etc/netboot/net-ip/ client-ID contiver todas as informações de configuração do cliente, o programa wanboot-cgi não verifica informações de configuração em outro local no diretório /etc/netboot.
/etc/netboot/net-ip: se todas as informações necessárias não estiverem localizadas no diretório /etc/netboot/ net-ip/client-ID, o programa wanboot-cgi então procura por informações de configuração de subrede no diretório /etc/netboot/net-ip.
/etc/netboot/: se as informações remanescentes não estiverem localizadas no diretório etc/netboot/net-ip, o programa wanboot-cgi então verifica informações de configuração global no diretório /etc/netboot.
Figura 11–2 demonstra como você pode configurar o diretório /etc/netboot para personalizar as suas instalações de inicialização WAN.
O layout do diretório /etc/netboot em Figura 11–2 permite que você execute as instalações de inicialização WAN a seguir.
Quando você instala o cliente 010003BA152A42, o programa wanboot-cgi utiliza os arquivos a seguir no diretório /etc/netboot/192.168.255.0/010003BA152A42 .
system.conf
keystore
truststore
certstore
O programa wanboot-cgi então utiliza o arquivo wanboot.conf no diretório /etc/netboot/192.168.255.0.
Quando você instala um cliente localizado na subrede 192.168.255.0, o programa wanboot-cgi utiliza os arquivos wanboot.conf , keystore etruststore no diretório /etc/netboot/192.168.255.0. O programa wanboot-cgi então utiliza o arquivo system.conf no diretório /etc/netboot.
Ao instalar uma máquina cliente que não esteja localizada na subrede 192.168.255.0, o programa wanboot-cgi utiliza os arquivos a seguir no diretório /etc/netboot.
wanboot.conf
system.conf
keystore
truststore
O programa wanboot-cgi transmite os dados e arquivos do servidor de inicialização WAN para o cliente. É necessário assegurar que esse programa esteja em um diretório no servidor de inicialização WAN que seja acessível ao cliente. Um método de tornar esse programa acessível ao cliente é armazená-lo no diretório cgi-bin do servidor de inicialização WAN. Você pode precisar configurar seu software do servidor da Web para utilizar o programa wanboot-cgi como um programa CGI. Veja a documentação do seu servidor da Web para obter informações sobre requisitos do programa CGI.
Se desejar adicionar mais segurança na instalação de inicialização WAN, você pode utilizar certificados digitais para habilitar a autenticação do servidor e do cliente. A inicialização WAN pode utilizar um certificado digital para estabelecer a identidade do servidor ou do cliente durante uma transação on-line. Certificados digitais são emitidos por uma autoridade de certificação (CA). Esses certificados contêm um número de série, datas de validade, uma cópia da chave pública do proprietário do certificado e a assinatura digital da autoridade de certificação.
Se desejar exigir a autenticação do servidor ou do cliente e do servidor durante a instalação, você deve instalar certificados digitais no servidor. Siga essas diretrizes ao utilizar certificados digitais.
Se desejar utilizar certificados digitais, os certificados digitais devem ser formatados como parte de um arquivo de Padrões de criptografia de chave pública #12 (PKCS#12).
Se criar seus próprios certificados, você deve criar os certificados como arquivos PKCS#12.
Se você receber seus certificados a partir de autoridades de certificados terceiros, solicite seus certificados no formato PKCS#12.
Para obter instruções detalhadas sobre como utilizar os certificados PKCS#12 durante a instalação de inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.
Enquanto a inicialização WAN fornece vários recursos de segurança diferentes, inicialização WAN não lida com essas inseguranças em potencial.
ataques de Negação de serviço (DoS): um ataque de negação de serviço pode tomar diversas formas, com o objetivo de impedir que usuários acessem um serviço específico. Um ataque DoS pode devastar uma rede com grandes quantidades de dados ou consumir agressivamente recursos limitados. Outros ataques DoS manipulam os dados que são transmitidos entre sistemas em trânsito. O Método de instalação de inicialização WAN não protege servidores ou clientes de ataques DoS.
Binários corrompidos nos servidores: o Método de instalação de inicialização WAN não verifica a integridade da miniraiz de inicialização WAN ou o arquivo Solaris Flash antes de a instalação ser executada. Antes de executar a instalação, verifique a integridade dos seus binários do Solaris em relação ao Banco de dados de impressões digitais do Solaris em http://sunsolve.sun.com .
Chave de criptografia e privacidade de chave de hashing: se você utilizar chaves de criptografia ou uma chave de hashing com inicialização WAN é necessário digitar o valor da chave na linha de comando durante a instalação. Siga as precauções necessárias à sua rede para certificar-se de que esses valores de chaves permaneçam privados.
Compromisso do serviço de identificação da rede: se você utilizar um serviço de identificação em sua rede, verifique a integridade dos nomes de servidores antes de executar a instalação do inicialização WAN.
É necessário reunir uma ampla variedade de informações para configurar a sua rede para uma instalação de inicialização WAN. Você pode desejar anotar essas informações conforme se prepara para instalar em uma WAN.
Utilize as planilhas a seguir para registrar as informações da instalação de inicialização WAN para a sua rede.
Tabela 11–2 Planilha para coletar informações do servidorTabela 11–3 Planilha para coletar informações do cliente
Informações |
Notas |
---|---|
Endereço de IP para a subrede do cliente |
|
Endereço de IP para o roteador do cliente |
|
Endereço de IP do cliente |
|
Máscara de subrede para o cliente |
|
Nome do host para o cliente |
|
Endereço MAC do cliente |
|