Guide d'installation Solaris 9 12/03

Previous: Chapitre 39 Préparation de l'installation et Initialisation via connexion WAN – Planification
Next: Chapitre 41 SPARC: installation et initialisation via connexion WAN – Tâches

Chapitre 40 Préparation à l'installation et Initialisation via connexion WAN – Tâches

Ce chapitre décrit les tâches permettant de préparer votre réseau à une installation et initialisation via connexion WAN.

Liste des tâches : préparation à une installation et initialisation via connexion WAN

Le tableau présenté ci-après dresse la liste des tâches à effectuer pour la préparation à une installation et initialisation via connexion WAN. Reportez-vous à la description de la tâche pour déterminer si elle est nécessaire à la configuration de cette installation.

Pour obtenir la description d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS, reportez-vous à la rubrique Configuration d'une installation et Initialisation via connexion WAN sécurisée.
Pour obtenir la description d'une installation et initialisation via connexion WAN non sécurisée, reportez à la rubrique Configuration d'une installation et Initialisation via connexion WAN non sécurisée.

Si vous utilisez un serveur DHCP ou un serveur de journalisation, effectuez les tâches facultatives indiquées à la fin du tableau.

Tableau 40–1 Liste des tâches : préparation à une installation et initialisation via connexion WAN


Tâche	Description	Instructions
Choisir les fonctions de sécurité à utiliser pour votre installation.	Consultez les fonctions et configurations de sécurité afin de déterminer le niveau de sécurité à appliquer à votre installation et initialisation via connexion WAN.	Protection des données lors d'une installation et Initialisation via connexion WAN Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation
Rassembler les informations d'installation et initialisation via connexion WAN.	Complétez la fiche de travail afin d'enregistrer toutes les informations nécessaires à l'installation et initialisation via connexion WAN.	Collecte d'informations pour les installations et initialisations via connexion WAN
Créer le répertoire document racine sur le serveur d'initialisation via connexion WAN.	Créez le répertoire document racine ainsi que tous les répertoires et sous-répertoires nécessaires aux fichiers de configuration et d'installation. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Création du répertoire document racine
Créer la miniracine de l'initialisation via connexion WAN.	Pour créer la miniracine, utilisez la commande `setup_install_server`. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	SPARC: procédure de création d'une miniracine de l'initialisation via connexion WAN
Installer le programme `wanboot` sur le serveur d'initialisation via connexion WAN.	Copiez le programme `wanboot` dans le répertoire document racine du serveur d'initialisation via connexion WAN. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Installation du programme `wanboot` sur le serveur d'initialisation via connexion WAN
Installer le programme `wanboot-cgi` sur le serveur d'initialisation via connexion WAN.	Copiez le programme `wanboot-cgi` dans le répertoire CGI du serveur d'initialisation via connexion WAN. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Procédure de copie du programme `wanboot-cgi` sur le serveur d'initialisation via connexion WAN
Définir la hiérarchie `/etc/netboot`.	Complétez la hiérarchie `/etc/netboot` à l'aide des fichiers de configuration et de sécurité nécessaires à l'installation et initialisation via connexion WAN. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Création de la hiérarchie `/etc/netboot` sur le serveur d'initialisation via connexion WAN
Configurer le serveur Web afin qu'il utilise l'HTTP sécurisé pour une installation et initialisation via connexion WAN plus sûre.	Identifiez les exigences du serveur Web pour une installation via connexion WAN avec l'HTTPS. Cette tâche est nécessaire pour la configuration d'installations sécurisées.	(Facultatif) Protection de données à l'aide d'HTTPS
Formater les certificats numériques pour une installation et initialisation via connexion WAN plus sûre.	Divisez le fichier PKCS#12 en une clé privée et un certificat pour l'installation via connexion WAN. Cette tâche est nécessaire pour la configuration d'installations sécurisées.	Création d'un certificat de confiance et d'une clé privée client
Créer une clé de hachage et une clé de chiffrement pour une installation et initialisation via connexion WAN plus sûre.	Utilisez la commande `wanbootutil keygen` pour créer les clés HMAC SHA1, 3DES ou AES. Cette tâche est nécessaire pour la configuration d'installations sécurisées. Pour les installations non sécurisées contrôlant l'intégrité des données, effectuez cette tâche pour créer une clé de hachage HMAC SHA1.	Procédure de création d'une clé de hachage et d'une clé de chiffrement
Créer l'archive Solaris Flash.	Pour créer une archive du logiciel que vous souhaitez installer sur le client, utilisez la commande `flar create`. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Procédure de création d'une archive Solaris Flash
Créer les fichiers d'installation de la méthode JumpStart personnalisée.	Utilisez un éditeur de texte pour créer les fichiers suivants : `sysidcfg` ; profil ; `rules.ok` ; scripts de début ; scripts de fin. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Création du fichier `sysidcfg` Création du profil Création d'un fichier `rules` (Facultatif) Création de scripts de début et de fin
Créer le fichier de configuration système.	Définissez les informations de configuration dans le fichier `system.conf`. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Procédure de création d'un fichier de configuration système
Créer le fichier de configuration de l'initialisation via connexion WAN.	Définissez les informations de configuration dans le fichier `wanboot.conf`. Cette tâche est nécessaire pour les configurations d'installations sécurisées et non sécurisées.	Procédure de création d'un fichier `wanboot.conf`
(Facultatif) Configurer le serveur DHCP pour la prise en charge de l'installation et initialisation via connexion WAN.	Définissez les options et macros fournisseur de Sun dans le serveur DHCP.	Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches
(Facultatif) Définir le serveur de journalisation.	Configurez un système dédié pour l'affichage des messages d'initialisation et d'installation.	(Facultatif) Configuration du serveur de journalisation d'initialisation via connexion WAN

Configuration du serveur d'initialisation via connexion WAN

Le serveur d'initialisation via connexion WAN est un serveur Web fournissant les données d'initialisation et de configuration au cours d'une installation et initialisation via connexion WAN. Pour obtenir une liste des exigences du système concernant ce serveur, reportez-vous au Tableau 39–1.

Cette rubrique décrit les tâches nécessaires à la configuration du serveur d'initialisation via connexion WAN en vue d'une installation et initialisation via connexion WAN.

Création du répertoire document racine

Les fichiers de configuration et d'installation doivent être accessibles au logiciel du serveur Web sur le serveur d'initialisation via connexion WAN. Pour les rendre accessibles, vous pouvez par exemple les stocker dans le répertoire document racine du serveur d'initialisation via connexion WAN.

Si vous souhaitez utiliser un répertoire document racine pour servir les fichiers de configuration et d'installation, il est nécessaire d'en créer un. Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour des informations plus détaillées sur la conception du répertoire document racine, reportez-vous à la rubrique Stockage des fichiers d'installation et de configuration dans le répertoire document racine.

Création de la miniracine de l'initialisation via connexion WAN

L'initialisation via connexion WAN utilise une miniracine de Solaris spéciale modifiée pour l'installation et initialisation via connexion WAN. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris. Pour réaliser une installation et initialisation via connexion WAN, vous devez copier la miniracine à partir du DVD Solaris ou du CD Solaris 1 sur 2 sur le serveur d'initialisation via connexion WAN. Utilisez l'option - w de la commande setup_install_server pour copier cette miniracine depuis le support logiciel Solaris sur le disque dur de votre système.

Cette procédure crée une miniracine SPARC de l'initialisation via connexion WAN avec un support SPARC. Si vous souhaitez servir cette miniracine à partir d'un serveur basé sur x86, vous devez créer la miniracine sur une machine SPARC. Après l'avoir créée, copiez-la dans le répertoire document racine du serveur basé sur x86.

Pour de plus amples informations sur la commande setup_install_server, reportez-vous au Chapitre 12.

SPARC: procédure de création d'une miniracine de l'initialisation via connexion WAN

Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous ne l'utilisez pas, reportez-vous au document System Administration Guide:Basic Administration pour de plus amples informations sur la gestion des supports amovibles sans le gestionnaire de volumes.

Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.

Le système doit satisfaire aux exigences suivantes :
- comporter un lecteur de CD ou de DVD ;
- faire partie du réseau et du service de noms du site.
  
  Si vous utilisez un service de noms, le système doit déjà faire partie d'un service, par exemple NIS, NIS+, DNS ou LDAP. Si vous n'en utilisez pas, vous devez identifier ce système conformément aux principes en vigueur au sein de votre entreprise.

Insérez le CD Solaris 1 sur 2 ou le DVD Solaris dans le lecteur du serveur d'installation.

Créez un répertoire pour la miniracine de l'initialisation via connexion WAN et l'image de l'installation Solaris.
# mkdir -p chemin_rép_wan chemin_rép_installation
-p

Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.

chemin_rép_wan

Spécifie le répertoire où la miniracine de l'initialisation via connexion WAN doit être créée sur le serveur d'installation. Ce répertoire doit être adapté à des miniracines dont la taille est généralement de 250 Mo.

chemin_rép_installation

Spécifie le répertoire du serveur d'installation où l'image du logiciel Solaris doit être copiée. Ce répertoire peut ensuite être supprimé au cours de cette procédure.

Déplacez-vous sur le répertoire Tools du disque monté.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools
Dans les exemples précédents, cdrom0 représente le chemin d'accès au lecteur contenant le support du système d'exploitation Solaris.

Copiez la miniracine de l'initialisation via connexion WAN et l'image du logiciel Solaris vers le disque dur du serveur d'initialisation via connexion WAN.
# ./setup_install_server -w chemin_rép_wan chemin_rép_installation
chemin_rép_wan

Indique le répertoire dans lequel sera copiée la miniracine de l'initialisation via connexion WAN.

chemin_rép_installation

Indique le répertoire dans lequel sera copiée l'image du logiciel Solaris.

Remarque :
la commande setup_install_server vous indique si l'espace disque dont vous disposez est suffisant pour les images disque du Logiciel Solaris. Utilisez la commande df -kl pour déterminer l'espace disque disponible.

La commande setup_install_server -w crée la miniracine de l'initialisation via connexion WAN et une image d'installation réseau du logiciel Solaris.

(Facultatif) Supprimez l'image d'installation réseau.

L'image du logiciel Solaris n'est pas nécessaire à l'installation via connexion WAN au moyen de l'archive Solaris Flash. Vous pouvez libérer de l'espace disque, si vous ne comptez pas utiliser l'image d'installation réseau pour d'autres installations. Entrez la commande suivante pour supprimer l'image d'installation réseau :
# rm -rf chemin_rép_installation

Rendez la miniracine de l'initialisation via connexion WAN accessible au serveur d'initialisation via connexion WAN par l'un des moyens indiqués ci-dessous.
- Créez un lien symbolique vers la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.
  # cd /répertoire_document_racine/miniroot # ln -s /chemin_rép_wan/miniroot .
  répertoire_document_racine/miniroot
  
  Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier la miniracine de l'initialisation via connexion WAN.
  
  /chemin_rép_wan/miniroot
  
  Spécifie le chemin d'accès à la miniracine de l'initialisation via connexion WAN.
- Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.
  # mv /chemin_rép_wan/miniroot /répertoire_document_racine/miniroot/nom_miniracine
  chemin_rép_wan/miniroot
  
  Spécifie le chemin d'accès à la miniracine de l'initialisation via connexion WAN.
  
  /répertoire_document_racine/miniroot/
  
  Spécifie le chemin d'accès au répertoire de la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.
  
  nom_miniracine
  
  Spécifie le nom de la miniracine de l'initialisation via connexion WAN. Nommez le fichier de manière significative, par exemple miniroot.s9_sparc.

Installation du programme `wanboot` sur le serveur d'initialisation via connexion WAN

L'initialisation via connexion WAN utilise un programme d'initialisation de second niveau spécial (wanboot) pour installer le client. Le programme wanboot charge la miniracine de l'initialisation via connexion WAN, les fichiers de configuration client et les fichiers d'installation nécessaires à l'installation et initialisation via connexion WAN.

Pour réaliser une installation et initialisation via connexion WAN, il est nécessaire de fournir le programme wanboot au client durant l'installation. Vous pouvez fournir ce programme au client en procédant comme indiqué ci-dessous.

Si la PROM de votre client prend en charge l'initialisation via connexion WAN, vous pouvez transmettre au client le programme depuis le serveur d'initialisation via connexion WAN. Pour vérifier si la PROM prend en charge ce type d'initialisation, reportez-vous à la rubrique Vérification de la prise en charge de l'initialisation via connexion WAN par l'OBP client.
Si la PROM du client ne prend pas en charge l'initialisation via connexion WAN, vous devez transmettre le programme au client via un CD local. Si la PROM ne prend pas en charge l'initialisation via connexion WAN, allez à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN pour poursuivre la préparation de votre installation.

SPARC: procédure d'installation du programme `wanboot` sur le serveur d'initialisation via connexion WAN

Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas le gestionnaire de volumes, reportez-vous au document System Administration Guide: Basic Administration pour de plus amples informations sur la gestion des supports amovibles sans le gestionnaire de volumes.

Connectez-vous en tant que superutilisateur au serveur d'installation.

Insérez le CD Solaris 1 sur 2 ou le DVD Solaris dans le lecteur du serveur d'installation.

Déplacez-vous sur le répertoire de la plate-forme sun4u du CD Solaris 1 sur 2 ou du DVD Solaris.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/

Copiez le programme wanboot sur le serveur d'installation.
# cp wanboot /répertoire_document_racine/wanboot/nom_wanboot
répertoire_document_racine

Spécifie le répertoire document racine du serveur d'initialisation via connexion WAN.

nom_wanboot

Spécifie le nom du programme wanboot. Nommez le fichier de façon significative, par exemple wanboot.s9_sparc.

Assurez-vous que le programme wanboot est accessible au serveur d'initialisation via connexion WAN de l'une des façons indiquées ci-dessous.
- Créez un lien symbolique vers le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN.
  # cd /répertoire_document_racine/wanboot # ln -s /chemin_rép_wan/wanboot .
  répertoire_document_racine/wanboot
  
  Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier le programme wanboot.
  
  /chemin_rép_wan/wanboot
  
  Spécifie le chemin d'accès au programme wanboot.
- Déplacez la miniracine de l'initialisation via connexion WAN vers le répertoire document racine du serveur d'initialisation via connexion WAN.
  # mv /chemin_rép_wan/wanboot /répertoire_document_racine/wanboot/nom_wanboot
  chemin_rép_wan/wanboot
  
  Spécifie le chemin d'accès au programme wanboot.
  
  /répertoire_document_racine/wanboot/
  
  Spécifie le chemin d'accès au répertoire du programme wanboot du répertoire document racine du serveur d'initialisation via connexion WAN.
  
  nom_wanboot
  
  Spécifie le nom du programme wanboot. Nommez le fichier de façon significative, par exemple wanboot.s9_sparc.

Création de la hiérarchie `/etc/netboot` sur le serveur d'initialisation via connexion WAN

Au cours de l'installation, l'initialisation via connexion WAN se réfère au contenu de la hiérarchie /etc/netboot sur le serveur Web pour obtenir des instructions sur la procédure d'installation. Ce répertoire contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification nécessaire à une installation et initialisation via connexion WAN. Au cours de l'installation, le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN. Le programme wanboot-cgi transmet ensuite le système de fichiers d'initialisation via connexion WAN au client.

Pour de plus amples informations sur la conception de la hiérarchie /etc/netboot, reportez-vous à la rubrique Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

Procédure de création de la hiérarchie `/etc/netboot`

Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.

Créez le répertoire /etc/netboot.
# mkdir /etc/netboot

Modifiez les autorisations du répertoire /etc/netboot sur 700.
# chmod 700 /etc/netboot

Modifiez le propriétaire du répertoire /etc/netboot en propriétaire du serveur Web.
# chown utilisateur_serveur_web:groupe_serveur_web /etc/netboot/
utilisateur_serveur_web

Spécifie l'utilisateur propriétaire du processus du serveur Web.

groupe_serveur_web

Spécifie le groupe propriétaire du processus du serveur Web.

Quittez le rôle de superutilisateur.
# exit

Endossez le rôle d'utilisateur propriétaire du serveur Web.

Créez le sous-répertoire client du répertoire /etc/netboot.
# mkdir -p /etc/netboot/ip_réseau/ID_client
-p

Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.

(Facultatif) ip_réseau

Spécifie l'adresse réseau IP du sous-réseau du client.

(Facultatif) ID_client

Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. Le répertoire ID_client doit être un sous-répertoire du répertoire ip_réseau.

Pour chaque répertoire de la hiérarchie /etc/netboot, modifiez les autorisations sur 700.
# chmod 700 /etc/netboot/nom_rép
nom_rép

Spécifie le nom d'un répertoire dans la hiérarchie /etc/netboot.

Exemple 40–1 Création de la hiérarchie `/etc/netboot` sur le serveur d'initialisation via connexion WAN

L'exemple suivant montre la procédure de création de la hiérarchie /etc/netboot pour le client 010003BA152A42 du sous-réseau 192.168.255.0. Dans cet exemple, l'utilisateur nobody et le groupe admin sont propriétaires du processus du serveur Web.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

Copie du programme CGI WAN Boot sur le serveur d'initialisation via connexion WAN

Le programme wanboot-cgi crée les flux de données transmettant les fichiers suivants depuis le serveur d'initialisation via connexion WAN au client.

programme wanboot ;
système de fichiers d'initialisation via connexion WAN ;
miniracine de l'initialisation via connexion WAN.

Le programme wanboot-cgi est installé sur le système lorsque vous installez l'environnement d'exploitation Solaris 9 12/03 . Pour activer le serveur d'initialisation via connexion WAN afin d'utiliser ce programme, copiez celui-ci dans le répertoire cgi-bin du serveur d'initialisation via connexion WAN.

Procédure de copie du programme `wanboot-cgi` sur le serveur d'initialisation via connexion WAN

Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.

Copiez le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /racine_serveur_WAN/cgi-bin/wanboot-cgi
/racine_serveur_WAN

Spécifie le répertoire racine du serveur Web sur le serveur d'initialisation via connexion WAN.

Sur le serveur d'initialisation via connexion WAN, réglez les autorisations du programme CGI sur 755.
# chmod 755 /racine_serveur_WAN/cgi-bin/wanboot-cgi

(Facultatif) Protection de données à l'aide d'HTTPS

Pour protéger vos données au cours du transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec le protocole SSL (HTTPS). Pour utiliser la configuration d'installation la plus sécurisée telle que décrite à la rubrique Configuration d'une installation et Initialisation via connexion WAN sécurisée, vous devez activer votre serveur Web pour l'utilisation d'HTTPS.

Pour ce faire, procédez comme indiqué ci-dessous.

Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.

Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour obtenir des informations sur ces fonctions, reportez-vous à la documentation indiquée ci-dessous.
- Pour des informations sur l'activation du protocole SSL sur les serveurs Web SunONE et iPlanet web, reportez-vous à la documentation Sun ONE et iPlanet à l'adresse suivante http://docs.sun.com.
- Pour des informations sur l'activation du SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante http://httpd.apache.org/docs-project/.
- Si le serveur Web que vous utilisez n'est pas mentionné ci-dessus, reportez-vous à la documentation relative à ce dernier.
Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.

Pour de plus amples informations sur l'utilisation des certificats numériques dans le cadre d'une initialisation via connexion WAN, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.
Fournissez un certificat de confiance au client.

Pour consulter la procédure de création d'un certificat de confiance, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.
Créez une clé de hachage et une clé de chiffrement.

Pour consulter la procédure de création des clés, reportez-vous à la rubrique Création d'une clé de hachage et d'une clé de chiffrement.
(Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.

Pour de plus amples informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.

Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation à travers HTTPS avec authentification serveur ou authentification client et serveur. Pour les conditions et directives sur l'utilisation des fichiers PKCS#12, reportez-vous à la rubrique Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.
Insérez le certificat de confiance dans le fichier client truststore de la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.
(Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.

La commande wanbootutil fournit des options pour exécuter ces tâches.

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Pour des informations d'ensemble sur la hiérarchie /etc/netboot, reportez-vous à la rubrique Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Pour consulter la procédure de création de la hiérarchie /etc/netboot, reportez-vous à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Création d'un certificat de confiance et d'une clé privée client

Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_réseau/ID_client/truststore
p12split

Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

-i p12cert

Spécifie le nom du fichier PKCS#12 à diviser.

-t /etc/netboot/ip_réseau/ID_client/truststore

Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.

(Facultatif) Voulez-vous utiliser l'authentification client ?
- Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-desssous.
- Dans le cas contraire, allez directement à Création d'une clé de hachage et d'une clé de chiffrement.
1. Insérez le certificat client dans le fichier certstore du client.
  # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé
  p12split
  
  Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.
  
  -i p12cert
  
  Spécifie le nom du fichier PKCS#12 à diviser.
  
  -c /etc/netboot/ip_réseau/ID_client/certstore
  
  Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.
  
  -k fichier_clé
  
  Spécifie le nom du fichier de clé privée SSL client à créer à partir du fichier PKCS#12 divisé.
2. Insérez la clé privée dans le fichier keystore du client.
  # wanbootutil keymgmt -i -k fichier_clé \ -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa
  keymgmt -i
  
  Insère une clé privée SSL dans le fichier keystore du client.
  
  -k fichier_clé
  
  Spécifie le nom du fichier de clé privée client créé à l'étape précédente.
  
  -s /etc/netboot/ip_réseau/ID_client/keystore
  
  Spécifie le chemin d'accès au fichier keystore du client.
  
  -o type=rsa
  
  Spécifie le type de clé comme RSA.

Exemple 40–2 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple suivant, vous utilisez un fichier PKCS#12 pour installer le client 010003BA152A42 sur le sous-réseau 192.168.255.0. Cette commande extrait du fichier PKCS#12 un certificat nommé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.

# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Création d'une clé de hachage et d'une clé de chiffrement

Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot. Pour des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la rubrique Protection des données lors d'une installation et Initialisation via connexion WAN .

À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.

Procédure de création d'une clé de hachage et d'une clé de chiffrement

Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

Créez la clé HMAC SHA1 maîtresse.
# wanbootutil keygen -m
keygen -m

Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN

Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.
# wanbootutil keygen -c -o [net=ip_réseau,{cid=ID_client,}]type=sha1
-c

Crée la clé de hachage client à partir de la clé maîtresse.

-o

Indique que la commande wanbootutil keygen fournit des options supplémentaires.

(Facultatif) net=ip_réseau

Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.

(Facultatif) cid=ID_client

Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

type=sha1

Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.

Choisissez de créer ou non une clé de chiffrement pour le client.

La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.
- Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.
- Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Allez directement à l'Étape 6.

Créez une clé de chiffrement pour le client.
# wanbootutil keygen —c -o [net=ip_réseau,{cid=ID_client,}]type=type_clé
-c

Crée la clé de chiffrement client.

-o

Indique que la commande wanbootutil keygen fournit des options supplémentaires.

(Facultatif) net=ip_réseau

Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.

(Facultatif) cid=ID_client

Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Elle peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

type=type_clé

Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.

Installez les clés sur le système client.

Pour la procédure d'installation des clés sur le client, reportez-vous à la rubrique Installation de clés sur le client.

Exemple 40–3 Création des clés nécessaire à une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée aussi une clé de hachage HMAC SHA1 et une clé de chiffrement 3DES pour le client 01832AA440 sur le sous-réseau 192.168.255.0.

# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des

Création des fichiers d'installation JumpStart personnalisés

L'installation et initialisation via connexion WAN effectue une installation JumpStart personnalisée pour installer une archive Solaris Flash sur le client. La méthode d'installation JumpStart personnalisée est une interface de ligne de commande vous permettant d'installer automatiquement plusieurs systèmes, en fonction des profils que vous créez. Ces profils définissent la configuration minimale requise par l'installation des logiciels. Vous pouvez également y inclure des scripts de shell correspondant à des tâches exécutables avant et après l'installation. Choisissez le profil et les scripts que vous souhaitez utiliser pour l'installation ou la mise à niveau. La méthode d'installation JumpStart personnalisée procède à l'installation de votre système ou à sa mise à niveau d'après le profil et les scripts que vous aurez sélectionnés. Vous pouvez aussi utiliser un fichier sysidcfg pour spécifier des informations de configuration de sorte que l'installation JumpStart personnalisée ne requière aucune intervention manuelle.

Pour préparer les fichiers JumpStart personnalisés en vue d'une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

Pour de plus amples informations sur la méthode JumpStart personnalisée, reportez-vous au Chapitre 22.

Création de l'archive Solaris Flash

La fonction d'installation Solaris Flash vous permet d'utiliser une installation de référence unique de l'environnement d'exploitation Solaris sur un système, appelé système maître. Vous pouvez ensuite créer l'archive Solaris Flash, réplique de l'image du système maître. Vous pouvez installer l'archive Solaris Flash sur d'autres systèmes du réseau en créant des systèmes clones.

Cette rubrique décrit la procédure de création d'une archive Solaris Flash destinée à être utilisée avec votre installation et initialisation via connexion WAN. Avant de créer une archive Solaris Flash, installez le système maître.

Pour de plus amples informations sur l'installation d'un système maître, reportez-vous à la rubrique Installation du système maître.
Pour de plus amples informations sur les archives Solaris Flash, reportez-vous au Chapitre 18.

Procédure de création d'une archive Solaris Flash

Pour consulter la procédure de création détaillée d'une archive Solaris Flash, reportez-vous à la rubrique Création d'une archive Solaris Flash.

Initialisez le système maître.

Faites-le fonctionner à l'état le plus inactif possible. Si vous le pouvez, faites tourner le système en mode utilisateur unique. Si cela s'avère impossible, fermez toutes les applications à archiver et toutes celles requérant d'importantes ressources en terme de système d'exploitation.

Pour créer l'archive, utilisez la commande flar create.
# flar create -n nom [paramètres_optionnels] document_racine/flash/nom_fichier
nom

Nom que vous assignez à l'archive. Le nom spécifié correspond à la valeur du mot-clé content_name.

paramètres_optionnels

Vous pouvez utiliser plusieurs options de la commande flar create pour personnaliser votre archive Solaris Flash. Pour une description détaillée de ces options, reportez-vous au Chapitre 20.

document_racine/flash

Chemin d'accès au sous-répertoire Solaris Flash du répertoire document racine du serveur d'installation.

nom_fichier

Nom du fichier d'archive.

Pour économiser de l'espace disque, vous pouvez utiliser l'option -c de la commande flar create afin de compresser l'archive. Toutefois, une archive compressée peut affecter les performances de votre installation et initialisation via connexion WAN. Pour de plus amples informations sur la création d'une archive compressée, reportez-vous à la page de manuel flar create(1M).
- Si la création de l'archive s'est correctement déroulée, la commande flar create renvoie un code de sortie égal à 0.
- Si la création de l'archive a échoué, la commande flar create renvoie un code de sortie différent de 0.

Pour des exemples de création d'une archive Solaris Flash, reportez-vous à la rubrique Exemples—création d'une archive en vue d'une installation initiale.

Création du fichier `sysidcfg`

Pour préconfigurer un système, vous pouvez spécifier un certain nombre de mots-clés dans le fichier sysidcfg. Pour des informations plus détaillées sur les mots-clés et valeurs de sysidcfg, reportez-vous à la rubrique Préconfiguration à l'aide du fichier sysidcfg.

Procédure de création du fichier `sysidcfg`

Créez un fichier sysidcfg dans un éditeur de texte du serveur d'installation.

Entrez-y les mots-clés sysidcfg de votre choix.

Pour de plus amples informations sur les mots-clés de sysidcfg, reportez-vous à la rubrique Mots-clés utilisables dans un fichier sysidcfg.

Enregistrez le fichier sysidcfg à un emplacement accessible au serveur d'initialisation via connexion WAN.

Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via connexion WAN.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

Exemple 40–4 Fichier `sysidcfg` pour l'installation et initialisation via connexion WAN

Voici un exemple de fichier sysidcfg pour un système basé sur SPARC. Le nom d'hôte, l'adresse IP et le masque de réseau de ce système ont été préconfigurés dans le service de noms utilisé.

network_interface=primary {hostname=seahag
                           default_route=192.168.88.1
                           ip_address=192.168.88.210
                           netmask=255.255.0.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

Création du profil

Un profil est un fichier texte indiquant au programme JumpStart personnalisé comment installer le logiciel Solaris sur un système. Un profil définit les éléments objets de l'installation ; le groupe de logiciels à installer, par exemple.

Pour de plus amples informations sur la procédure de création de profils, reportez-vous à la rubrique Création d'un profil.

Procédure de création d'un profil

Créez un fichier texte sur le serveur d'installation. Donnez un nom significatif à votre fichier.

Assurez-vous que le nom du profil représente bien ce que vous comptez en faire pour installer le logiciel Solaris sur votre système. Vous pouvez, par exemple, nommer vos profils basic_install, eng_profile ou user_profile.

Ajoutez des mots-clés de profil et leur valeur dans le profil ainsi créé.

Pour connaître la liste des mots-clés de profil et de leurs valeurs, consultez la rubrique Mots-clés et valeurs des profils.

Les mots-clés de profil et leur valeur tiennent compte des minuscules et des majuscules.

Enregistrez le profil à un emplacement accessible au serveur d'initialisation via connexion WAN.

Enregistrez le profil à l'un des emplacements indiqués ci-dessous.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via connexion WAN.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

Vérifiez que le profil figure dans root et que le degré d'autorisation est réglé sur 644.

(Facultatif) Testez le profil.

La rubrique Test d'un profil comporte davantage d'informations sur la procédure de test des profils.

Exemple 40–5 Extraction d'une archive Solaris Flash à partir d'un serveur HTTP sécurisé

Dans l'exemple suivant, le profil indique que le programme JumpStart personnalisé extrait l'archive Solaris Flash à partir d'un serveur HTTP sécurisé.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.255.255/solarisupdate.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

La liste suivante décrit certains mots-clés et valeurs de cet exemple.

install_type: Le profil installe une archive Solaris Flash sur le système clone. Tous les fichiers sont écrasés, comme dans une installation initiale.
archive_location: L'archive Solaris Flash compressée est extraite à partir d'un serveur HTTP sécurisé.
partitioning: Les tranches des systèmes de fichiers sont déterminées par le mot-clé filesys, associé à la valeur explicit. La taille de racine (/) est basée sur la taille de l'archive Solaris Flash. La taille de swap est réglée en fonction des besoins. Ce système de fichiers est installé sur c0t1d0s1. /export/home est basé sur l'espace disque restant. /export/home est installé sur c0t1d0s7.

Création d'un fichier `rules`

Le fichier rules est un fichier texte contenant une règle pour chaque groupe de systèmes où vous souhaitez installer l'environnement d'exploitation Solaris. Chaque règle désigne un groupe de systèmes ayant un ou plusieurs attributs en commun. Chaque règle relie également chaque groupe à un profil. Un profil est un fichier texte définissant la procédure d'installation du logiciel Solaris sur chaque système d'un groupe. Par exemple, la règle suivante spécifie que le programme JumpStart utilise les informations dans le profil basic_prof pour installer tout système dans le groupe plate-forme sun4u.

karch sun4u - basic_prof -

Le fichier rules sert à créer le fichier rules.ok, dont dépendent les installations JumpStart personnalisées.

Pour de plus amples informations sur la procédure de création d'un fichier de règles, reportez-vous à la rubrique Création d'un fichier rules.

Procédure de création d'un fichier `rules`

Sur le serveur d'installation, créez un fichier texte nommé rules.

Ajoutez une règle au fichier rules pour chaque groupe de systèmes à installer.

Pour de plus amples informations sur la procédure de création d'un fichier de règles, reportez-vous à la rubrique Création d'un fichier rules.

Enregistrez le fichier rules sur le serveur d'installation.

Validez-le.
$ ./check [[-p chemin -r nom_fichier]]
-p chemin

Valide le fichier rules à l'aide du script check à partir de l'image du logiciel Solaris 9 et non à partir du script check du système que vous utilisez. chemin est l'image figurant sur un disque local ou désigne le DVD Solaris ou le CD Solaris 1 sur 2 monté.

Utilisez cette option pour exécuter la version la plus récente de check si la version de Solaris installée sur votre système n'est pas la plus récente.

-r nom_fichier

Spécifie un autre fichier de règles que celui portant le nom de rules. Cette option vous permet de tester la validité d'une règle avant de l'intégrer dans le fichier rules .

Lors de l'exécution du script check, celui-ci établit des rapports sur la validité du fichier rules et de chaque profil. S'il ne rencontre aucune erreur, le script signale : The custom JumpStart configuration is ok. Le script check crée le fichier rules.ok.

Enregistrez le fichier rules.ok à un emplacement accessible au serveur d'initialisation via connexion WAN.

Enregistrez le fichier à l'un des emplacements indiqués ci-dessous.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont hébergés sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'initialisation via connexion WAN.
- Si le serveur d'initialisation via connexion WAN et le serveur d'installation ne sont pas sur la même machine, enregistrez ce fichier dans le sous-répertoire flash du répertoire document racine du serveur d'installation.

Vérifiez que le fichier rules.ok dépend de root et que le degré d'autorisation est réglé sur 644.

Pour des exemples de fichiers rules, reportez-vous à la rubrique Exemple de fichier rules.

(Facultatif) Création de scripts de début et de fin

Les scripts de début et de fin sont des scripts en Bourne shell définis par l'utilisateur et spécifiés dans le fichier rules. Un script de début effectue des tâches précédant l'installation du logiciel Solaris sur un système. Après l'installation du logiciel Solaris sur votre système, un script de fin exécute des tâches avant que le système ne se réinitialise. Ces scripts ne peuvent être utilisés que si le logiciel Solaris est installé à l'aide de la méthode JumpStart personnalisée.

Les scripts de début permettent de créer des profils dérivés. Les scripts de fin permettent d'effectuer diverses tâches après l'installation, telles que l'ajout de fichiers, modules, patchs ou logiciels.

Les scripts de début et de fin doivent être stockés dans le même répertoire que les fichiers sysidcfg, rules.ok et profil sur le serveur d'installation.

Pour de plus amples informations sur la création des scripts de début, reportez-vous à la rubrique Création de scripts de début.
Pour de plus amples information sur la création de scripts de fin, reportez-vous à la rubrique Création de scripts de fin.

Création des fichiers de configuration

Pour spécifier l'emplacement des données et fichiers nécessaires à une installation et initialisation via connexion WAN, l'initialisation via connexion WAN utilise les fichiers suivants :

fichier de configuration système (system.conf) ;
fichier wanboot.conf.

Cette rubrique décrit la procédure de création et de stockage de ces deux fichiers.

Création du fichier de configuration système

Dans le fichier de configuration système, les programmes d'installation et initialisation via connexion WAN peuvent être dirigés vers les fichiers suivants :

fichier sysidcfg ;
fichier rules.ok ;
profil JumpStart personnalisé.

L'installation et initialisation via connexion WAN suit les pointeurs du fichier de configuration du système pour installer et configurer le client.

Le fichier de configuration du système est un texte en clair et doit être formaté selon le schéma suivant :

réglage=valeur

Pour diriger les programmes d'installation via connexion WAN vers les fichiers sysidcfg, rules.ok et profil à l'aide d'un fichier de configuration système, procédez comme indiqué ci-dessous.

Procédure de création d'un fichier de configuration système

Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

Créez un fichier texte. Donnez un nom significatif au fichier, par exemple sys-conf.s9–sparc.

Ajoutez les entrées suivantes au fichier de configuration système :

SsysidCF=URL_fichier_sysidcfg

Ces réglages pointent vers le répertoire flash du serveur d'installation contenant le fichier sysidcfg. Assurez-vous que cette URL correspond au chemin d'accès au fichier sysidcfg que vous avez créé à l'étape Création du fichier sysidcfg.

Pour les installations via connexion WAN utilisant l'HTTPS, définissez la valeur sur une URL HTTPS valide.

SjumpsCF=URL_fichiers_jumpstart

Ce réglage pointe vers le répertoire Solaris Flash du serveur d'installation contenant le fichier rules.ok, le fichier profil et les scripts de début et de fin. Assurez-vous que cette URL correspond au chemin d'accès aux fichiers JumpStart personnalisés que vous avez créés aux étape Création du profil et Création d'un fichier rules.

Pour les installations via connexion WAN utilisant l'HTTPS, définissez la valeur sur une URL HTTPS valide.

Enregistrez le fichier dans un répertoire accessible au serveur d'initialisation via connexion WAN.

Pour des raisons d'administration, vous pouvez enregistrer le fichier dans le répertoire client approprié du répertoire /etc/netboot du serveur d'initialisation via connexion WAN.

Modifiez les autorisations du fichier de configuration système sur 600.
# chmod 600 /chemin/fichier_conf_système
chemin

Spécifie le chemin d'accès au répertoire contenant le fichier de configuration système.

fichier_conf_système

Spécifie le nom du fichier de configuration système.

Exemple 40–6 Fichier de configuration système pour une installation et initialisation via connexion WAN à travers HTTPS

Dans l'exemple suivant, les programmes d'installation et initialisation via connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisés sur le serveur Web https://www.example.com sur le port 1234. Le serveur Web utilise l'HTTP sécurisé pour chiffrer les données et fichiers au cours de l'installation.

Les fichiers sysidcfg et JumpStart personnalisés se trouvent dans le sous-répertoire flash du répertoire document racine htdocs.

SsysidCF=https://www.example.com:1234/htdocs/flash
SjumpsCF=https://www.example.com:1234/htdocs/flash

Exemple 40–7 Fichier de configuration système pour une installation et initialisation via connexion WAN non sécurisée

Dans l'exemple suivant, les programmes d'installation et initialisation via connexion WAN vérifient les fichiers sysidcfg et JumpStart personnalisés sur le serveur Web http://www.example.com. Le serveur Web utilise l'HTTP, de sorte que les données et fichiers ne sont pas protégés au cours de l'installation.

Les fichiers sysidcfg et JumpStart personnalisés sont situés dans le sous-répertoire flash du répertoire document racine htdocs.

SsysidCF=http://www.example.com/htdocs/flash
SjumpsCF=http://www.example.com/htdocs/flash

Création du fichier `wanboot.conf`

Le fichier wanboot.conf est un fichier de configuration de texte en clair utilisé par les programmes d'initialisation via connexion WAN pour une installation du même type. Le programme wanboot-cgi, le système de fichiers d'initialisation et la miniracine de l'initialisation via connexion WAN utilisent les informations contenues dans le fichier wanboot.conf pour installer la machine client.

Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour de plus amples informations sur la définition de la hiérarchie /etc/netboot de votre installation et initialisation via connexion WAN, reportez-vous à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Si le serveur d'initialisation via connexion WAN fonctionne sous l'environnement d'exploitation Solaris 9 12/03, vous pouvez trouver un exemple de fichier wanboot.conf dans /etc/inet/wanboot.conf.sample. Vous pouvez utiliser cet exemple comme modèle pour votre installation et initialisation via connexion WAN.

Le fichier wanboot.conf doit contenir les informations indiquées ci-dessous.

Tableau 40–2 Informations pour le fichier wanboot.conf


Type d'informations	Description
Informations sur le serveur d'initialisation via connexion WAN	Chemin d'accès au programme `wanboot` du serveur d'initialisation via connexion WAN URL du programme `wanboot-cgi` sur le serveur d'initialisation via connexion WAN
Informations sur le serveur d'installation	Chemin d'accès à la miniracine de l'initialisation via connexion WAN sur le serveur d'installation Chemin d'accès au fichier de configuration système du serveur d'initialisation via connexion WAN spécifiant l'emplacement des fichiers `sysidcfg` et JumpStart personnalisés.
Informations relatives à la sécurité	Type de signature pour le système de fichiers ou la miniracine de l'initialisation via connexion WAN Type de chiffrement pour le système de fichiers d'initialisation via connexion WAN Authentification serveur au cours de l'installation et initialisation via connexion WAN ? Authentification client au cours de l'installation et initialisation via connexion WAN ?
Informations facultatives	Hôtes supplémentaires pouvant avoir à être résolus pour le client au cours d'une installation et initialisation via connexion WAN URL vers le script `bootlog-cgi` du serveur de journalisation

Ces informations doivent être spécifiées en dressant la liste des paramètres avec leurs valeurs associées dans le format suivant :

paramètre=valeur

Pour de plus amples informations sur les paramètres et la syntaxe du fichier wanboot.conf, reportez-vous à la rubrique Paramètres et syntaxe du fichier wanboot.conf.

Procédure de création d'un fichier `wanboot.conf`

Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

Créez le fichier texte wanboot.conf.

Vous pouvez créer un nouveau fichier texte appelé wanboot.conf ou utiliser l'exemple de fichier situé dans /etc/inet/wanboot.conf.sample. Si vous utilisez l'exemple, renommez le fichier wanboot.conf après avoir ajouté les paramètres.

Entrez les paramètres et valeurs wanboot.conf pour votre installation.

Pour une description détaillée des paramètres et valeurs wanboot.conf, reportez-vous à la rubrique Paramètres et syntaxe du fichier wanboot.conf.

Enregistrez le fichier wanboot.conf dans le sous-répertoire adéquat de la hiérarchie /etc/netboot.

Pour de plus amples informations sur la procédure de création de la hiérarchie /etc/netboot, reportez-vous à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Valider le fichierwanboot.conf.
# bootconfchk /etc/netboot/chemin_vers_wanboot.conf/wanboot.conf
chemin_vers_wanboot.conf

Spécifie le chemin d'accès au fichier wanboot.conf du client sur le serveur d'initialisation via connexion WAN
- Si le fichier wanboot.conf est structurellement valide, la commande bootconfchk retourne un code de sortie égal à 0.
- Si le fichier wanboot.conf est invalide, la commande bootconfchk retourne un code de sortie différent de zéro.

Modifiez les autorisations du fichier wanboot.conf sur 600.

# chmod 600 /etc/netboot/chemin_vers_ wanboot.conf/wanboot.conf

Exemple 40–8 Fichier `wanboot.conf` pour une installation et initialisation via connexion WAN à travers HTTPS

L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN utilisant l'HTTP sécurisé. Le fichier wanboot.conf indique aussi qu'une clé de chiffrement 3DES est utilisée dans cette installation.

boot_file=/wanboot/wanboot.s9_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=system.conf

Le fichier wanboot.conf spécifie la configuration suivante :

boot_file=/wanboot/wanboot.s9_sparc: Le programme d'initialisation de second niveau est appelé wanboot.s9_sparc. Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via connexion WAN.
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi: L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est https://www.example.com:1234/cgi-bin/wanboot-cgi. La portion https de l'URL indique que cette initialisation via connexion WAN utilise l'HTTP sécurisé.
root_file=/miniroot/miniroot.s9_sparc: La miniracine de l'initialisation via connexion WAN est appelée miniroot.s9_sparc. Cette miniracine est situé dans le répertoire /miniroot du répertoire document racine du serveur d'initialisation via connexion WAN.
signature_type=sha1: Le programme wanboot.s9_sparc et le système de fichiers d'initialisation via connexion WAN sont signés à l'aide d'une clé de hachage HMAC SHA1.
encryption_type=3des: Le programme wanboot.s9_sparc et le système de fichiers d'initialisation sont chiffrés à l'aide d'une clé 3DES.
server_authentication=yes: Le serveur est authentifié au cours de l'installation.
client_authentication=no: Le client n'est pas authentifié au cours de l'installation.
resolve_hosts=: Aucun nom d'hôte supplémentaire n'est nécessaire pour l'installation via connexion WAN. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via connexion WAN.
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi: Tous les messages relatifs à l'initialisation et à l'installation sont enregistrés sur le serveur d'initialisation via connexion WAN à travers l'HTTP sécurisé.
system_conf=system.conf: Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart se trouve dans un sous-répertoire de la hiérarchie /etc/netboot. Le fichier de configuration du système est nommé system.conf.

Exemple 40–9 Fichier `wanboot.conf` pour une initialisation via connexion WAN non sécurisée

L'exemple de fichier wanboot.conf suivant comprend des informations de configuration pour une installation et initialisation via connexion WAN moins sécurisée à travers HTTP. Ce fichier wanboot.conf indique aussi que l'installation n'utilise pas de clé de chiffrement ou de hachage.

boot_file=/wanboot/wanboot.s9_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=system.conf

Le fichier wanboot.conf spécifie la configuration suivante :

boot_file=/wanboot/wanboot.s9_sparc: Le programme d'initialisation de second niveau est appelé wanboot.s9_sparc. Ce programme est situé dans le répertoire /wanboot du répertoire document racine du serveur d'initialisation via connexion WAN.
root_server=http://www.example.com/cgi-bin/wanboot-cgi: L'emplacement du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN est http://www.example.com/cgi-bin/wanboot-cgi. Cette installation n'utilise pas l'HTTP sécurisé.
root_file=/miniroot/miniroot.s9_sparc: La miniracine de l'initialisation via connexion WAN est appelée miniroot.s9_sparc. Cette miniracine est située dans le sous-répertoire /miniroot du répertoire document racine du serveur d'initialisation via connexion WAN.
signature_type=: Le programme wanboot.s9_sparc et le système de fichiers d'initialisation via connexion WAN ne sont pas signés à l'aide d'une clé de hachage.
encryption_type=: Le programme wanboot.s9_sparc et le système de fichiers d'initialisation ne sont pas chiffrés.
server_authentication=no: Le serveur n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.
client_authentication=no: Le client n'est pas authentifié à l'aide des clés ou certificats au cours de l'installation.
resolve_hosts=: Aucun nom d'hôte supplémentaire n'est nécessaire pour effectuer l'installation. Tous les fichiers et informations requis se trouvent dans le répertoire document racine du serveur d'initialisation via connexion WAN.
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi: Les messages relatifs à l'initialisation et à l'installation sont enregistrés dans le serveur d'initialisation via connexion WAN.
system_conf=system.conf: Le fichier de configuration système contenant les emplacements des fichiers sysidcfg et JumpStart s'appelle system.conf. Il se trouve dans le sous-répertoire approprié de la hiérarchie /etc/netboot.

(Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP

Si un serveur DHCP est installé sur votre réseau, vous pouvez le configurer de manière à ce qu'il fournisse les informations suivantes :

adresse IP du serveur Proxy ;
emplacement du programme wanboot-cgi.

Vous pouvez utiliser les options fournisseur DHCP indiquées ci-dessous dans votre installation et initialisation via connexion WAN.

SHTTPproxy: Spécifie l'adresse IP du réseau du serveur proxy.
SbootURI: Spécifie l'URL du programme wanboot-cgi du serveur d'initialisation via connexion WAN

Pour de plus amples informations sur la définition de ces options fournisseur sur un serveur Solaris DHCP, reportez-vous à la rubrique Préconfiguration des informations de configuration système à l'aide du service DHCP - Tâches.

Pour consulter la procédure d'installation d'un serveur Solaris DHCP, reportez-vous à la rubrique “Configuring DHCP Service (Task)” in System Administration Guide: IP Services.

(Facultatif) Configuration du serveur de journalisation d'initialisation via connexion WAN

Si vous souhaitez enregistrer les messages d'initialisation et d'installation sur un système autre que le client, vous devez définir un serveur de journalisation. Si vous souhaitez utiliser un serveur de journalisation via HTTPS au cours de l'installation, vous devez configurer le serveur d'initialisation via connexion WAN comme serveur de journalisation.

Pour configurer le serveur de journalisation, procédez comme indiqué ci-dessous.

Configuration du serveur de journalisation

Copiez le script bootlog-cgi dans le répertoire du script CGI du serveur de journalisation.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ racine_serveur_journal/cgi-bin
racine_serveur_journal/cgi-bin

Spécifie le répertoire cgi-bin du répertoire du serveur Web du serveur de journalisation.

Modifiez les autorisations du script bootlog-cgi sur 755.

# chmod 755 racine_serveur_journal/cgi-bin/bootlog-cgi

Définissez la valeur du paramètre boot_logger du fichier wanboot.conf.

Dans le fichier wanboot.conf, spécifiez l'URL du script bootlog-cgi sur le serveur de journalisation.

Pour de plus amples informations sur la définition des paramètres du fichier wanboot.conf, reportez-vous à la rubrique Création du fichier wanboot.conf.

Au cours de l'installation, les messages d'initialisation et d'installation sont enregistrés dans le répertoire /tmp du serveur de journalisation. Le fichier journal s'appelle bootlog.nom_hôte, où nom_hôte est le nom d'hôte du client.

Exemple 40–10 Configuration d'un serveur de journalisation pour une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant configure le serveur d'initialisation via connexion WAN comme serveur de journalisation :

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi