test

Guia de instalação do Oracle Solaris 10 9/10: instalações com base em rede

Capítulo 10 inicialização WAN (visão geral)

Este capítulo fornece uma visão geral do Método de instalação de inicialização WAN. Este capítulo descreve os seguintes tópicos.

O que é inicialização WAN?

O Método de instalação de inicialização WAN possibilita inicializar e instalar softwares por uma ampla área de rede (WAN) utilizando HTTP. Utilizando o inicialização WAN, é possível instalar o Solaris SO em sistemas com base em SPARC por uma rede pública onde a infra-estrutura de rede pode não ser confiável. É possível utilizar a inicialização WAN com recursos de segurança para proteger dados confidenciais e a integridade da imagem de instalação.

O método de instalação de inicialização WAN possibilita a transmissão de arquivos encriptados Solaris Flash através de rede pública para um cliente remoto com base em SPARC. A inicialização WAN programa e instala o sistema de cliente efetuando instalação personalizada JumpStart. Para proteger a integridade da instalação, é possível utilizar chaves privadas para autenticar e encriptar dados. Também é possível transmitir dados de instalação e arquivos através de uma conexão HTTP segura, configurando o sistema para utilizar certificados digitais.

Para efetuar a instalação inicialização WAN, instale o sistema com base em SPARC baixando as seguintes informações do servidor da Web através do HTTP ou conexão HTTP segura.

Instale o arquivo no cliente utilizando o método de instalação personalizada JumpStart.

É possível proteger a transferência de informações previamente listadas utilizando chaves e certificados digitais.

Para uma descrição detalhada da sequência de eventos na instalação inicialização WAN, consulte Como o inicialização WAN funciona (visão geral).

Quando utilizar inicialização WAN

O Método de instalação de inicialização WAN permite instalar o sistema com base em SPARC que está localizado em áreas geograficamente remotas. Talvez deseje utilizar a inicialização WAN para instalar servidores remotos ou clientes que somente são acessíveis através de uma rede pública.

Se desejar instalar sistemas que estão localizados na sua área de rede local (LAN), o Método de instalação de inicialização WAN pode requerer mais configuração e administração que o necessário. Para informação sobre como instalar o sistema por LAN, consulte Capítulo 4Instalando a partir de uma rede (visão geral).

Como o inicialização WAN funciona (visão geral)

A inicialização WAN utiliza uma combinação de servidores, arquivos de configuração, programa de Common Gateway Interface (CGI) e arquivos de instalação para instalar um cliente remoto com base em SPARC. Esta seção descreve a sequência geral de eventos em uma instalação inicialização WAN.

Sequência de eventos em uma instalação inicialização WAN

Figura 10–1 mostra a sequência básica de eventos em uma instalação inicialização WAN. Nesta figura, o cliente com base em SPARC recupera dados de configuração e arquivos de instalação do servidor da Web e um servidor de instalação através de uma WAN.

Figura 10–1 Sequência de eventos em uma instalação de inicialização WAN

O contexto descreve o gráfico.

  1. Inicie o cliente em um dos modos a seguir.

    • Inicie da rede configurando as variáveis da interface de rede no Open Boot PROM (OBP).

    • Inicie da rede com a opção DHCP.

    • Inicie de um CD-ROM local.

  2. O cliente OBP obtêm informação de configuração de um dos recursos a seguir.

    • Dos valores de argumento de inicialização que foram digitados na linha de comando pelo usuário

    • Do servidor DHCP, se a rede utilizar DHCP

  3. O cliente OBP requisita o programa de nível secundário de inicialização WAN (wanboot).

    O cliente OBP baixa o programa wanboot das fontes a seguir.

    • De um servidor de Web especial, chamado de servidor de inicialização WAN, utilizando o Hyper Text Transfer Protocol (HTTP)

    • De um CD-ROM local (não mostrado na figura)

  4. O programa wanboot requisita informação de configuração de cliente do servidor de inicialização WAN.

  5. O programa wanboot baixa arquivos de configuração que são transmitidos pelo programa wanboot-cgi do servidor de inicialização WAN. Os arquivos de configuração são transmitidos para o cliente como sistema de arquivos de inicialização WAN.

  6. O programa wanboot requisita o download da mini-raiz de inicialização WAN do servidor de inicialização WAN.

  7. O programa wanboot baixa a mini-raiz de inicialização WAN do servidor utilizando HTTP ou HTTP segura.

  8. O programa wanboot carrega e executa o UNIX kernel da mini-raiz de inicialização WAN.

  9. O UNIX kernel localiza e monta o sistema de arquivos de inicialização WAN para utilização pelo programa de instalação Solaris.

  10. O programa de instalação requisita o download de um arquivo Solaris Flash e arquivos personalizados JumpStart de um servidor de instalação.

    O programa de instalação baixa o arquivo e arquivos personalizados JumpStart através de uma conexão HTTP ou HTTPS.

  11. O programa de instalação efetua uma instalação personalizada JumpStart para instalar o arquivo Solaris Flash no cliente.

Protegendo dados durante a Instalação inicialização WAN

O Método de instalação de inicialização WAN permite utilizar chaves de hashing, chaves encriptadas, e certificados digitais para proteger seu sistema de dados durante a instalação. Esta seção descreve rapidamente os diferentes métodos de proteção de dados que são suportados pelo Método de instalação de inicialização WAN.

Verificando a integridade dos dados com a chaves de hashing

Para proteger dados transmitidos do servidor de inicialização WAN para o cliente, crie uma chave de Hashed Message Authentication Code (HMAC). Instale a chave de hashing no servidor de inicialização WAN e no cliente. O servidor de inicialização WAN utiliza as chaves para sinalizar os dados a serem transmitidos para o cliente. O cliente então utiliza as chaves para verificar a integridade dos dados que serão transmitidos pelo servidor de inicialização WAN. Depois de instalar a chave de hashing, o cliente utiliza esta chave para futuras instalações de inicialização WAN.

Para instruções sobre como utilizar uma chave de hashing, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Encriptando dados com as chaves de encriptação

O Método de instalação de inicialização WAN permite encriptar dados que serão transmitidos do servidor de inicialização WAN do cliente. É possível utilizar o utilitário de inicialização WAN para criar uma Triple Data Encryption Standard (3DES), ou uma chave de encriptação Advanced Encryption Standard (AES). Em seguida, é possível utilizar estas chaves o inicialização WAN no servidor e no cliente. A inicialização WAN utiliza a chave de encriptação para encriptar dados enviados do servidor inicialização WAN para o cliente. O cliente pode utilizar esta chave para decriptar os arquivos de configuração e os arquivos de segurança encriptados que serão transmitidos durante a instalação.

Uma vez instalada a chave de encriptação no cliente, o cliente utilizará a chave para futuras instalações inicialização WAN.

Talvez o site não permita a utilização de chaves de encriptação. Para determinar se o site permite encriptação, pergunte ao administrador de segurança do site. Se o site permitir encriptação, pergunte ao administrador de segurança qual tipo de chave de encriptação, 3DES ou AES, deve ser utilizada.

Para instruções sobre como utilizar as chaves de encriptação, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Protegendo dados utilizando HTTPS

Suporte de inicialização WAN utiliza HTTP sob Secure Sockets Layer (HTTPS) para transferir dados entre o servidor inicialização WAN e o cliente. Utilizando HTTPS, é possível requisitar que o servidor, ou servidor e cliente, se autentiquem durante a instalação. HTTPS também encripta dados que são transferidos do servidor para o cliente durante a instalação.

HTTPS utiliza certificados digitais para autenticar sistemas que trocam dados através da rede. O certificado digital é um tipo de arquivo que identifica um sistema, seja servidor ou cliente, como um sistema confiável durante comunicação on-line. É possível requisitar um certificado digital de uma autoridade certificada externa, ou criar seu próprio certificado e autoridade certificada.

Para permitir que o cliente confie no servidor e aceite dados do servidor, instale o certificado digital no servidor. Instrua o cliente a confiar no certificado. É possível requisitar que o cliente se autentique nos servidores fornecendo um certificado digital ao cliente. É possível instruir o servidor a aceitar a assinatura do certificado quando o cliente apresentar o certificado durante a instalação.

Para utilizar o certificado digital durante a instalação, é necessário configurar o servidor da Web para utilizar com HTTPS. Consulte a documentação do servidor da Web para informação sobre como utilizar HTTPS.

Para informação sobre requerimentos para utilização de certificados digitais durante instalação inicialização WAN, consulte Requisitos dos certificados digitais. Para instruções sobre como utilizar certificados digitais em instalação inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

Configurações de segurança suportadas por inicialização WAN (visão geral)

Inicialização WAN suporta diversos níveis de segurança. É possível utilizar uma combinação de recursos de segurança que são suportados na inicialização WAN para reunir as necessidades da rede. Uma configuração mais segura requer mais administração, mas também protege os dados de sistema para uma maior amplitude. Para sistemas mais críticos, ou sistemas que queira instalar através da rede pública, escolha a configuração em Configuração de instalação de segurança inicialização WAN. Para sistemas menos críticos, ou sistemas em redes semi-privadas, considere a configuração descrita em Configuração de instalação insegura inicialização WAN.

Essa seção descreve brevemente as diferentes configurações que podem ser utilizadas para definir o nível de segurança para instalação de inicialização WAN. A seção também descreve os mecanismos de segurança que são necessários por essas configurações.

Configuração de instalação de segurança inicialização WAN

Essa configuração protege a integridade dos dados trocados entre o servidor e o cliente, e ajuda a manter o conteúdo da troca confidencial. Essa configuração utiliza conexão HTTPS e algoritmo 3DES ou AES para encriptar os arquivos de configuração de cliente. Essa configuração também requer que o servidor se autentique ao cliente durante a instalação. Uma instalação de inicialização WAN segura requer os seguintes recursos de segurança.

Se desejar requisitar a autenticação de cliente durante instalação, você deve utilizar também os recursos de segurança a seguir.

Para uma lista de tarefas necessárias para instalar com essa configuração, consulte Tabela 12–1.

Configuração de instalação insegura inicialização WAN

Esta configuração de segurança exige o menor esforço de administração, mas proporciona a menor segurança na transferência de dados do servidor da Web ao cliente. Não é necessário criar uma chave de hashing, chave de encriptação ou certificados digitais. Não é necessário configurar o servidor da Web para utilizar HTTPS. No entanto, essa configuração transfere a instalação de dados e arquivos por conexão HTTP, o que deixa a instalação vulnerável a interceptações pela rede.

Se desejar que o cliente verifique a integridade dos dados que são transmitidos, utilize chave de hashing HMAC SHA1 com essa configuração. Contudo, o arquivo Solaris Flash não está protegido pela chave de hashing. O arquivo é transferido sem segurança entre servidor e o cliente durante a instalação.

Para uma lista de tarefas necessárias para instalar com essas configurações, consulte Tabela 12–2.