Le serveur d'initialisation via connexion WAN est un serveur Web fournissant les données d'initialisation et de configuration au cours d'une installation et initialisation via connexion WAN. Pour obtenir une liste des exigences du système concernant ce serveur, reportez-vous au Tableau 39–1.
Cette rubrique décrit les tâches nécessaires à la configuration du serveur d'initialisation via connexion WAN en vue d'une installation et initialisation via connexion WAN.
Création de la miniracine de l'initialisation via connexion WAN
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN
Copie du programme CGI WAN Boot sur le serveur d'initialisation via connexion WAN
Les fichiers de configuration et d'installation doivent être accessibles au logiciel du serveur Web sur le serveur d'initialisation via connexion WAN. Pour les rendre accessibles, vous pouvez par exemple les stocker dans le répertoire document racine du serveur d'initialisation via connexion WAN.
Si vous souhaitez utiliser un répertoire document racine pour servir les fichiers de configuration et d'installation, il est nécessaire d'en créer un. Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour des informations plus détaillées sur la conception du répertoire document racine, reportez-vous à la rubrique Stockage des fichiers d'installation et de configuration dans le répertoire document racine.
L'initialisation via connexion WAN utilise une miniracine de Solaris spéciale modifiée pour l'installation et initialisation via connexion WAN. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris. Pour réaliser une installation et initialisation via connexion WAN, vous devez copier la miniracine à partir du DVD Solaris ou du CD Solaris 1 sur 2 sur le serveur d'initialisation via connexion WAN. Utilisez l'option - w de la commande setup_install_server pour copier cette miniracine depuis le support logiciel Solaris sur le disque dur de votre système.
Cette procédure crée une miniracine SPARC de l'initialisation via connexion WAN avec un support SPARC. Si vous souhaitez servir cette miniracine à partir d'un serveur basé sur x86, vous devez créer la miniracine sur une machine SPARC. Après l'avoir créée, copiez-la dans le répertoire document racine du serveur basé sur x86.
Pour de plus amples informations sur la commande setup_install_server, reportez-vous au Chapitre 12.
Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous ne l'utilisez pas, reportez-vous au document System Administration Guide:Basic Administration pour de plus amples informations sur la gestion des supports amovibles sans le gestionnaire de volumes.
Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.
Le système doit satisfaire aux exigences suivantes :
comporter un lecteur de CD ou de DVD ;
faire partie du réseau et du service de noms du site.
Si vous utilisez un service de noms, le système doit déjà faire partie d'un service, par exemple NIS, NIS+, DNS ou LDAP. Si vous n'en utilisez pas, vous devez identifier ce système conformément aux principes en vigueur au sein de votre entreprise.
Insérez le CD Solaris 1 sur 2 ou le DVD Solaris dans le lecteur du serveur d'installation.
Créez un répertoire pour la miniracine de l'initialisation via connexion WAN et l'image de l'installation Solaris.
# mkdir -p chemin_rép_wan chemin_rép_installation |
Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.
Spécifie le répertoire où la miniracine de l'initialisation via connexion WAN doit être créée sur le serveur d'installation. Ce répertoire doit être adapté à des miniracines dont la taille est généralement de 250 Mo.
Spécifie le répertoire du serveur d'installation où l'image du logiciel Solaris doit être copiée. Ce répertoire peut ensuite être supprimé au cours de cette procédure.
Déplacez-vous sur le répertoire Tools du disque monté.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
Dans les exemples précédents, cdrom0 représente le chemin d'accès au lecteur contenant le support du système d'exploitation Solaris.
Copiez la miniracine de l'initialisation via connexion WAN et l'image du logiciel Solaris vers le disque dur du serveur d'initialisation via connexion WAN.
# ./setup_install_server -w chemin_rép_wan chemin_rép_installation |
Indique le répertoire dans lequel sera copiée la miniracine de l'initialisation via connexion WAN.
Indique le répertoire dans lequel sera copiée l'image du logiciel Solaris.
la commande setup_install_server vous indique si l'espace disque dont vous disposez est suffisant pour les images disque du Logiciel Solaris. Utilisez la commande df -kl pour déterminer l'espace disque disponible.
La commande setup_install_server -w crée la miniracine de l'initialisation via connexion WAN et une image d'installation réseau du logiciel Solaris.
(Facultatif) Supprimez l'image d'installation réseau.
L'image du logiciel Solaris n'est pas nécessaire à l'installation via connexion WAN au moyen de l'archive Solaris Flash. Vous pouvez libérer de l'espace disque, si vous ne comptez pas utiliser l'image d'installation réseau pour d'autres installations. Entrez la commande suivante pour supprimer l'image d'installation réseau :
# rm -rf chemin_rép_installation |
Rendez la miniracine de l'initialisation via connexion WAN accessible au serveur d'initialisation via connexion WAN par l'un des moyens indiqués ci-dessous.
Créez un lien symbolique vers la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.
# cd /répertoire_document_racine/miniroot # ln -s /chemin_rép_wan/miniroot . |
Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier la miniracine de l'initialisation via connexion WAN.
Spécifie le chemin d'accès à la miniracine de l'initialisation via connexion WAN.
Déplacez la miniracine de l'initialisation via connexion WAN sur le répertoire document racine du serveur d'initialisation via connexion WAN.
# mv /chemin_rép_wan/miniroot /répertoire_document_racine/miniroot/nom_miniracine |
Spécifie le chemin d'accès à la miniracine de l'initialisation via connexion WAN.
Spécifie le chemin d'accès au répertoire de la miniracine de l'initialisation via connexion WAN dans le répertoire document racine du serveur d'initialisation via connexion WAN.
Spécifie le nom de la miniracine de l'initialisation via connexion WAN. Nommez le fichier de manière significative, par exemple miniroot.s9_sparc.
L'initialisation via connexion WAN utilise un programme d'initialisation de second niveau spécial (wanboot) pour installer le client. Le programme wanboot charge la miniracine de l'initialisation via connexion WAN, les fichiers de configuration client et les fichiers d'installation nécessaires à l'installation et initialisation via connexion WAN.
Pour réaliser une installation et initialisation via connexion WAN, il est nécessaire de fournir le programme wanboot au client durant l'installation. Vous pouvez fournir ce programme au client en procédant comme indiqué ci-dessous.
Si la PROM de votre client prend en charge l'initialisation via connexion WAN, vous pouvez transmettre au client le programme depuis le serveur d'initialisation via connexion WAN. Pour vérifier si la PROM prend en charge ce type d'initialisation, reportez-vous à la rubrique Vérification de la prise en charge de l'initialisation via connexion WAN par l'OBP client.
Si la PROM du client ne prend pas en charge l'initialisation via connexion WAN, vous devez transmettre le programme au client via un CD local. Si la PROM ne prend pas en charge l'initialisation via connexion WAN, allez à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN pour poursuivre la préparation de votre installation.
Cette procédure part du principe que le serveur d'initialisation via connexion WAN exécute le gestionnaire de volumes (Volume Manager). Si vous n'utilisez pas le gestionnaire de volumes, reportez-vous au document System Administration Guide: Basic Administration pour de plus amples informations sur la gestion des supports amovibles sans le gestionnaire de volumes.
Connectez-vous en tant que superutilisateur au serveur d'installation.
Insérez le CD Solaris 1 sur 2 ou le DVD Solaris dans le lecteur du serveur d'installation.
Déplacez-vous sur le répertoire de la plate-forme sun4u du CD Solaris 1 sur 2 ou du DVD Solaris.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
Copiez le programme wanboot sur le serveur d'installation.
# cp wanboot /répertoire_document_racine/wanboot/nom_wanboot |
Spécifie le répertoire document racine du serveur d'initialisation via connexion WAN.
Spécifie le nom du programme wanboot. Nommez le fichier de façon significative, par exemple wanboot.s9_sparc.
Assurez-vous que le programme wanboot est accessible au serveur d'initialisation via connexion WAN de l'une des façons indiquées ci-dessous.
Créez un lien symbolique vers le programme wanboot dans le répertoire document racine du serveur d'initialisation via connexion WAN.
# cd /répertoire_document_racine/wanboot # ln -s /chemin_rép_wan/wanboot . |
Spécifie dans le répertoire document racine du serveur d'initialisation via connexion WAN le répertoire auquel vous souhaitez relier le programme wanboot.
Spécifie le chemin d'accès au programme wanboot.
Déplacez la miniracine de l'initialisation via connexion WAN vers le répertoire document racine du serveur d'initialisation via connexion WAN.
# mv /chemin_rép_wan/wanboot /répertoire_document_racine/wanboot/nom_wanboot |
Spécifie le chemin d'accès au programme wanboot.
Spécifie le chemin d'accès au répertoire du programme wanboot du répertoire document racine du serveur d'initialisation via connexion WAN.
Spécifie le nom du programme wanboot. Nommez le fichier de façon significative, par exemple wanboot.s9_sparc.
Au cours de l'installation, l'initialisation via connexion WAN se réfère au contenu de la hiérarchie /etc/netboot sur le serveur Web pour obtenir des instructions sur la procédure d'installation. Ce répertoire contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification nécessaire à une installation et initialisation via connexion WAN. Au cours de l'installation, le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN. Le programme wanboot-cgi transmet ensuite le système de fichiers d'initialisation via connexion WAN au client.
Pour de plus amples informations sur la conception de la hiérarchie /etc/netboot, reportez-vous à la rubrique Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.
Créez le répertoire /etc/netboot.
# mkdir /etc/netboot |
Modifiez les autorisations du répertoire /etc/netboot sur 700.
# chmod 700 /etc/netboot |
Modifiez le propriétaire du répertoire /etc/netboot en propriétaire du serveur Web.
# chown utilisateur_serveur_web:groupe_serveur_web /etc/netboot/ |
Spécifie l'utilisateur propriétaire du processus du serveur Web.
Spécifie le groupe propriétaire du processus du serveur Web.
Quittez le rôle de superutilisateur.
# exit |
Endossez le rôle d'utilisateur propriétaire du serveur Web.
Créez le sous-répertoire client du répertoire /etc/netboot.
# mkdir -p /etc/netboot/ip_réseau/ID_client |
Indique à la commande mkdir de créer tous les répertoires parents nécessaires au répertoire que vous souhaitez créer.
Spécifie l'adresse réseau IP du sous-réseau du client.
Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. Le répertoire ID_client doit être un sous-répertoire du répertoire ip_réseau.
Pour chaque répertoire de la hiérarchie /etc/netboot, modifiez les autorisations sur 700.
# chmod 700 /etc/netboot/nom_rép |
Spécifie le nom d'un répertoire dans la hiérarchie /etc/netboot.
L'exemple suivant montre la procédure de création de la hiérarchie /etc/netboot pour le client 010003BA152A42 du sous-réseau 192.168.255.0. Dans cet exemple, l'utilisateur nobody et le groupe admin sont propriétaires du processus du serveur Web.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
Le programme wanboot-cgi crée les flux de données transmettant les fichiers suivants depuis le serveur d'initialisation via connexion WAN au client.
programme wanboot ;
système de fichiers d'initialisation via connexion WAN ;
miniracine de l'initialisation via connexion WAN.
Le programme wanboot-cgi est installé sur le système lorsque vous installez l'environnement d'exploitation Solaris 9 12/03 . Pour activer le serveur d'initialisation via connexion WAN afin d'utiliser ce programme, copiez celui-ci dans le répertoire cgi-bin du serveur d'initialisation via connexion WAN.
Connectez-vous en tant que superutilisateur au serveur d'initialisation via connexion WAN.
Copiez le programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /racine_serveur_WAN/cgi-bin/wanboot-cgi |
Spécifie le répertoire racine du serveur Web sur le serveur d'initialisation via connexion WAN.
Sur le serveur d'initialisation via connexion WAN, réglez les autorisations du programme CGI sur 755.
# chmod 755 /racine_serveur_WAN/cgi-bin/wanboot-cgi |
Pour protéger vos données au cours du transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec le protocole SSL (HTTPS). Pour utiliser la configuration d'installation la plus sécurisée telle que décrite à la rubrique Configuration d'une installation et Initialisation via connexion WAN sécurisée, vous devez activer votre serveur Web pour l'utilisation d'HTTPS.
Pour ce faire, procédez comme indiqué ci-dessous.
Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.
Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour obtenir des informations sur ces fonctions, reportez-vous à la documentation indiquée ci-dessous.
Pour des informations sur l'activation du protocole SSL sur les serveurs Web SunONE et iPlanet web, reportez-vous à la documentation Sun ONE et iPlanet à l'adresse suivante http://docs.sun.com.
Pour des informations sur l'activation du SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante http://httpd.apache.org/docs-project/.
Si le serveur Web que vous utilisez n'est pas mentionné ci-dessus, reportez-vous à la documentation relative à ce dernier.
Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.
Pour de plus amples informations sur l'utilisation des certificats numériques dans le cadre d'une initialisation via connexion WAN, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.
Fournissez un certificat de confiance au client.
Pour consulter la procédure de création d'un certificat de confiance, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.
Créez une clé de hachage et une clé de chiffrement.
Pour consulter la procédure de création des clés, reportez-vous à la rubrique Création d'une clé de hachage et d'une clé de chiffrement.
(Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.
Pour de plus amples informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.
La méthode d'installation et initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation à travers HTTPS avec authentification serveur ou authentification client et serveur. Pour les conditions et directives sur l'utilisation des fichiers PKCS#12, reportez-vous à la rubrique Exigences des certificats numériques.
Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :
Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.
Insérez le certificat de confiance dans le fichier client truststore de la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.
(Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.
La commande wanbootutil fournit des options pour exécuter ces tâches.
Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
Pour des informations d'ensemble sur la hiérarchie /etc/netboot, reportez-vous à la rubrique Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Pour consulter la procédure de création de la hiérarchie /etc/netboot, reportez-vous à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_réseau/ID_client/truststore |
Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.
(Facultatif) Voulez-vous utiliser l'authentification client ?
Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-desssous.
Dans le cas contraire, allez directement à Création d'une clé de hachage et d'une clé de chiffrement.
Insérez le certificat client dans le fichier certstore du client.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé |
Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.
Spécifie le nom du fichier de clé privée SSL client à créer à partir du fichier PKCS#12 divisé.
Insérez la clé privée dans le fichier keystore du client.
# wanbootutil keymgmt -i -k fichier_clé \ -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa |
Insère une clé privée SSL dans le fichier keystore du client.
Spécifie le nom du fichier de clé privée client créé à l'étape précédente.
Spécifie le chemin d'accès au fichier keystore du client.
Spécifie le type de clé comme RSA.
Dans l'exemple suivant, vous utilisez un fichier PKCS#12 pour installer le client 010003BA152A42 sur le sous-réseau 192.168.255.0. Cette commande extrait du fichier PKCS#12 un certificat nommé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot. Pour des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la rubrique Protection des données lors d'une installation et Initialisation via connexion WAN .
À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.
Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.
Créez la clé HMAC SHA1 maîtresse.
# wanbootutil keygen -m |
Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN
Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.
# wanbootutil keygen -c -o [net=ip_réseau,{cid=ID_client,}]type=sha1 |
Crée la clé de hachage client à partir de la clé maîtresse.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.
Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.
Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.
Choisissez de créer ou non une clé de chiffrement pour le client.
La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.
Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.
Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Allez directement à l'Étape 6.
Créez une clé de chiffrement pour le client.
# wanbootutil keygen —c -o [net=ip_réseau,{cid=ID_client,}]type=type_clé |
Crée la clé de chiffrement client.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.
Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Elle peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.
Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.
Installez les clés sur le système client.
Pour la procédure d'installation des clés sur le client, reportez-vous à la rubrique Installation de clés sur le client.
L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée aussi une clé de hachage HMAC SHA1 et une clé de chiffrement 3DES pour le client 01832AA440 sur le sous-réseau 192.168.255.0.
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |