この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。必要な作業は次のとおりです。
次の表は、WAN ブートインストールの準備に必要な作業の一覧です。使用する WAN ブートインストール構成に応じて、必要な作業かどうかを作業説明から判断してください。
HTTPS によるセキュリティ保護された WAN ブートインストールについては、セキュリティ保護された WAN ブートインストール構成を参照してください。
セキュリティ保護されていない WAN ブートインストールについては、セキュリティ保護されていない WAN ブートインストール構成を参照してください。
DHCP サーバーやログサーバーを使用するには、表の末尾にある追加作業を実行する必要があります。
表 40–1 作業マップ: WAN ブートインストールを実行するための準備
WAN ブートサーバーは、WAN ブートインストール時にブートデータと構成データを提供する Web サーバーです。WAN ブートサーバーのシステム要件のリストについては、表 39–1 を参照してください。
ここでは、WAN ブートインストールを行うために WAN ブートサーバーを構成する方法について説明します。必要な作業は次のとおりです。
構成ファイルとインストールファイルを提供するには、WAN ブートサーバーの Web サーバーソフトウェアがこれらのファイルにアクセスできるようにする必要があります。たとえば、WAN ブートサーバーのドキュメントルートディレクトリにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
構成ファイルとインストールファイルの提供にドキュメントルートディレクトリを使用するには、このディレクトリを作成する必要があります。ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。ドキュメントルートディレクトリの設計方法については、ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存を参照してください。
WAN ブートでは、WAN ブートインストール用に変更された特別な Solaris ミニルートが使用されます。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが入っています。WAN ブートインストールを実行するには、Solaris DVD または Solaris SOFTWARE 1 of 2 CD から、このミニルートを WAN ブートサーバーにコピーする必要があります。-w オプションを指定して setup_install_server コマンドを実行し、Solaris ソフトウェアのメディアからシステムのハードディスクに WANブートミニルートをコピーします。
次の手順では、SPARC メディアを使って SPARC WAN ブートミニルートを作成します。x86 ベースのサーバーから SPARC WAN ブートミニルートを提供するには、まず SPARC マシンにミニルートを作成する必要があります。次に、作成したミニルートを、x86 ベースのサーバーのドキュメントルートディレクトリにコピーします。
setup_install_server コマンドの詳細は、第 12 章「CD メディアを使用してネットワークからインストールするための準備」を参照してください。
この手順では、WAN ブートサーバーでボリュームマネージャを実行していると仮定します。ボリュームマネージャを使用していない場合は、ボリュームマネージャを使用せずにリムーバブルメディアを管理する方法について、『Solaris のシステム管理 (基本編)』を参照してください。
WAN ブートサーバー上でスーパーユーザーになります。
システムの必要条件は以下のとおりです。
CD-ROM ドライブまたは DVD-ROM ドライブを備えていること
サイトのネットワークおよびネームサービスに組み込まれていること
ネームサービスを使用する場合は、システムがすでに NIS、NIS+、DNS、LDAP のいずれかのネームサービスに登録されていなければなりません。ネームサービスを使用しない場合は、サイトのポリシーに従ってシステムの情報を供給する必要があります。
Solaris SOFTWARE 1 of 2 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
WAN ブートミニルートと Solaris インストールイメージを置くためのディレクトリを作成します。
# mkdir -p wan-dir-path install-dir-path |
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
WAN ブートミニルートの作成先となる、インストールサーバー上のディレクトリを指定します。このディレクトリには、ミニルートを格納できる容量が必要です。ミニルートの標準サイズは 250 M バイトです。
Solaris ソフトウェアイメージのコピー先となる、インストールサーバー上のディレクトリを指定します。この手順の後半で、このディレクトリは削除できます。
マウントされたディスクの Tools ディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
上の例では、cdrom0 は、Solaris オペレーティング環境のメディアを含むドライブへのパスです。
WAN ブートミニルートと Solaris ソフトウェアイメージを、WAN ブートサーバーのハードディスクにコピーします。
# ./setup_install_server -w wan-dir-path install-dir-path |
WAN ブートミニルートをコピーするディレクトリを指定します。
Solaris ソフトウェアイメージをコピーするディレクトリを指定します。
setup_install_server コマンドは、Solaris SOFTWARE ディスクイメージをコピーする十分なディスク容量があるかどうかを調べます。利用できるディスク容量を調べるには、df -kl コマンドを使用します。
setup_install_server -w コマンドは、WAN ブートミニルートと、Solaris ソフトウェアのネットワークインストールイメージを作成します。
(省略可能) ネットワークインストールイメージを削除します。
フラッシュアーカイブを使って WAN インストールを実行する場合、Solaris ソフトウェアイメージは不要です。ほかのネットワークインストールに使用する予定がない場合は、ネットワークインストールイメージを削除して、ディスクの空き領域を増やすことができます。ネットワークインストールイメージを削除するには、次のコマンドを入力します。
# rm -rf install-dir-path |
次のどちらかの方法で、WAN ブートサーバーが WAN ブートミニルートにアクセスできるようにします。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートへのシンボリックリンクを作成します。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、WAN ブートミニルートにリンクするものを指定します。
WAN ブートミニルートへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
WAN ブートミニルートへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリにある WAN ブートミニディレクトリへのパスを指定します。
WAN ブートミニルートの名前を指定します。miniroot.s9_sparc のように、わかりやすい名前をファイルに付けます。
WAN ブートでは、特別な二次レベルのブートプログラム wanboot が、クライアントのインストールに使用されます。wanboot プログラムは、WAN ブートインストールの実行に必要な、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込みます。
WAN ブートインストールを実行するには、インストール時に wanboot プログラムをクライアントに提供する必要があります。次の方法で、このプログラムをクライアントに提供できます。
クライアントの PROM が WAN ブートに対応している場合は、WAN ブートサーバーからクライアントにプログラムを転送できます。クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、クライアント OBP での WAN ブート対応の確認を参照してください。
クライアントの PROM が WAN ブートに対応していない場合は、ローカル CD を使ってクライアントにプログラムを提供する必要があります。クライアントの PROM が WAN ブートに対応していない場合は、WAN ブートサーバーに /etc/netboot ディレクトリを作成するに進み、インストールの準備を続行します。
この手順では、WAN ブートサーバーでボリュームマネージャを実行していると仮定します。ボリュームマネージャを使用していない場合は、ボリュームマネージャを使用せずにリムーバブルメディアを管理する方法について、『Solaris のシステム管理 (基本編)』を参照してください。
インストールサーバー上でスーパーユーザーになります。
Solaris SOFTWARE 1 of 2 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
Solaris SOFTWARE 1 of 2 CD または Solaris DVD の sun4u プラットフォームディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
インストールサーバーに wanboot プログラムをコピーします。
# cp wanboot /document-root-directory/wanboot/wanboot-name |
WAN ブートサーバーのドキュメントルートディレクトリを指定します。
wanboot プログラムの名前を指定します。wanboot.s9_sparc のように、わかりやすい名前をファイルに付けます。
次のどちらかの方法で、WAN ブートサーバーが wanboot プログラムにアクセスできるようにします。
WAN ブートサーバーのドキュメントルートディレクトリに、wanboot プログラムへのシンボリックリンクを作成します。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、wanboot プログラムにリンクするものを指定します。
wanboot プログラムへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
wanboot プログラムへのパスを指定します。
WAN ブートサーバのドキュメントルートディレクトリにある wanboot プログラムディレクトリへのパスを指定します。
wanboot プログラムの名前を指定します。wanboot.s9_sparc のように、わかりやすい名前をファイルに付けます。
インストール時に WAN ブートは、Web サーバーの /etc/netboot ディレクトリの内容を参照して、インストールの実行方法に関する指示を取得します。このディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。インストール時、この情報は wanboot-cgi プログラムによって WAN ブートファイルシステムに変換されます。その後、wanboot-cgi プログラムは WAN ブートファイルシステムをクライアントに転送します。
/etc/netboot ディレクトリの設計方法については、/etc/netboot ディレクトリへの構成情報とセキュリティ情報の保存を参照してください。
WAN ブートサーバー上でスーパーユーザーになります。
/etc/netboot ディレクトリを作成します。
# mkdir /etc/netboot |
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
# chmod 700 /etc/netboot |
/etc/netboot ディレクトリの所有者を、Web サーバーの所有者に変更します。
# chown web-server-user:web-server-group /etc/netboot/ |
Web サーバープロセスの所有者であるユーザーを指定します。
Web サーバープロセスの所有者であるグループを指定します。
スーパーユーザーを終了します。
# exit |
Web サーバー所有者の役割になります。
/etc/netboot ディレクトリに、クライアントのサブディレクトリを作成します。
# mkdir -p /etc/netboot/net-ip/client-ID |
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
クライアントのサブネットのネットワーク IP アドレスを指定します。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した値か、DHCP クライアント ID です。client-ID ディレクトリは、net-ip ディレクトリのサブディレクトリである必要があります。
/etc/netboot ディレクトリ内の各サブディレクトリについて、アクセス権を 700 に変更します。
# chmod 700 /etc/netboot/dir-name |
/etc/netboot ディレクトリ内のサブディレクトリの名前を指定します。
次の例は、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 に対応する /etc/netboot ディレクトリの作成方法を示しています。この例では、nobody というユーザーと admin というグループが、Web サーバープロセスを所有しています。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントに次のファイルを転送するデータストリームを作成します。
wanboot プログラム
WAN ブートファイルシステム
WAN ブートミニルート
Solaris 9 12/03 オペレーティング環境をインストールすると、wanboot-cgi プログラムもシステムにインストールされます。WAN ブートサーバーがこのプログラムを使用できるようにするには、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムをコピーします。
WAN ブートサーバー上でスーパーユーザーになります。
WAN ブートサーバーに wanboot-cgi プログラムをコピーします。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
WAN ブートサーバー上の Web サーバーソフトウェアのルートディレクトリを指定します。
WAN ブートサーバーで、CGI プログラムのアクセス権を 755 に変更します。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
WAN ブートサーバーからクライアントへの転送中にデータを保護するために、HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。セキュリティ保護された WAN ブートインストール構成に説明されている、より高いセキュリティで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。
WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次の作業を実行します。
Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。
SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティ機能を有効にする方法については、このマニュアルでは説明していません。これらの機能については、次のマニュアルを参照してください。
SunONE Web サーバーおよび iPlanet Web サーバーで SSL を有効にする方法については、http://docs.sun.com にある Sun ONE および iPlanet のマニュアルコレクションを参照してください。
Apache Web サーバーで SSL を有効にする方法については、http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。
上記以外の Web サーバーソフトウェアを使用している場合は、そのソフトウェアのマニュアルを参照してください。
WAN ブートサーバーにデジタル証明書をインストールします。
WAN ブートでデジタル証明書を使用する方法については、サーバー認証とクライアント認証のためのデジタル証明書の使用を参照してください。
信頼できる証明書をクライアントに提供します。
信頼できる証明書の作成方法については、サーバー認証とクライアント認証のためのデジタル証明書の使用を参照してください。
ハッシュキーと暗号化鍵を作成します。
キーの作成方法については、ハッシュキーと暗号化鍵の作成を参照してください。
(省略可能) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。
クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのマニュアルを参照してください。
WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、デジタル証明書の要件を参照してください。
WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。
PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。
/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。
(省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。
wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。
PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。
/etc/netboot ディレクトリの概要については、/etc/netboot ディレクトリへの構成情報とセキュリティ情報の保存を参照してください。
/etc/netboot ディレクトリの作成方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
wanbootutil コマンドのオプション。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
(省略可能) クライアント認証を要求するかどうかを決定します。
要求する場合は、引き続き次の手順を実行します。
要求しない場合は、ハッシュキーと暗号化鍵の作成へ進みます。
クライアントの certstore にクライアントの証明書を挿入します。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
クライアントの keystore に非公開鍵を挿入します。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
クライアントの keystore に SSL 非公開鍵を挿入します。
前の手順で作成したクライアントの非公開鍵ファイルの名前を指定します。
クライアントの keystore へのパスを指定します。
キータイプとして RSA を指定します。
次の例では、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半私設のネットワーク上でインストールを行うときなど、インストールデータの暗号化が不要な場合もあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。ハッシュキーと暗号化鍵の概要については、WAN ブートインストール時のデータの保護を参照してください。
wanbootutil keygen コマンドを使用すると、これらのキーを生成し、/etc/netboot の適切なディレクトリに保存できます。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
HMAC SHA1 マスターキーを作成します。
# wanbootutil keygen -m |
WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。
このマスターキーから、クライアントの HMAC SHA1 ハッシュキーを作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
クライアントのハッシュキーをマスターキーから作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティに指示します。
クライアントの暗号化鍵を作成する必要があるかどうかを決定します。
HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。
サーバー認証を伴う、より高いセキュリティ保護された WAN インストールを HTTPS で実行する場合は、次の手順に進みます。
wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。手順 6 に進みます。
クライアントの暗号化鍵を作成します。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type |
クライアントの暗号化鍵を作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティに指示します。key-type には、3des または aes という値を指定できます。
クライアントシステムにキーをインストールします。
クライアントにキーをインストールする方法については、クライアントに対するキーのインストールを参照してください。
次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。また、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |
WAN ブートは、カスタム JumpStart インストールを実行して、フラッシュアーカイブをクライアントにインストールします。カスタム JumpStart は、あらかじめ作成したプロファイルを使って、複数のシステムのインストールを自動的にかつ同時に行うことができる、コマンド行インタフェースです。プロファイルには、どのようにソフトウェアをインストールするかを定義します。さらに、インストール前とインストール後に実行する作業を、シェルスクリプトを使用して指定することができます。システムのインストールまたはアップグレードにどのプロファイルとスクリプトを使用するかを選択できます。カスタム JumpStart では、選択したプロファイルとスクリプトに基づいて、システムのインストールまたはアップグレードが行われます。また、sysidcfg ファイルを使用して構成情報を指定することにより、カスタム JumpStart インストールを完全に自動化することも可能です。
WAN ブートインストール用のカスタム JumpStart ファイルを準備するには、次の作業を実行します。
カスタム JumpStart インストールの詳細は、第 22 章「カスタム JumpStart の概要」を参照してください。
フラッシュインストール機能を利用すると、マスターシステムと呼ばれるシステム上の Solaris オペレーティング環境を、単一の参照用インストールイメージとして使用できます。また、マスターシステムのイメージを複製して、フラッシュアーカイブを作成できます。ネットワーク内のほかのシステムにこのフラッシュアーカイブをインストールすることで、クローンシステムを作成できます。
ここでは、WAN ブートインストールで使用するフラッシュアーカイブの作成方法について説明します。フラッシュアーカイブを作成する前に、マスターシステムのインストールを行う必要があります。
マスターシステムのインストール方法については、マスターシステムへのインストールを参照してください。
フラッシュアーカイブの詳細については、第 18 章「フラッシュアーカイブの作成」を参照してください。
フラッシュアーカイブの作成方法の詳細は、フラッシュアーカイブの作成を参照してください。
マスターシステムをブートします。
できるだけ静的な状態でマスターシステムを稼働させます。可能であれば、システムをシングルユーザーモードで実行してください。これが不可能な場合、アーカイブしたいアプリケーションおよび大量のオペレーティングシステムリソースを必要とするアプリケーションを停止します。
flar create コマンドを使用して、アーカイブを作成します。
# flar create -n name [optional-parameters] document-root/flash/filename |
アーカイブに指定する名前です。指定する name は、content_name キーワードの値になります。
flar create コマンドには、フラッシュアーカイブをカスタマイズするためのオプションをいくつか指定できます。これらのオプションの詳細は、第 20 章「フラッシュに関するリファレンス情報」を参照してください。
インストールサーバーのドキュメントルートディレクトリにある Solaris Flash サブディレクトリへのパスです。
アーカイブファイルの名前です。
ディスク容量を節約するために、flar create コマンドに -c オプションを指定してアーカイブを圧縮することもできます。ただし、アーカイブを圧縮すると、WAN ブートインストールのパフォーマンスに影響する場合があります。圧縮されたアーカイブの作成方法については、flar create(1M)のマニュアルページを参照してください。
アーカイブの作成が正常に完了すると、flar create コマンドは終了コード 0 を返します。
アーカイブの作成が失敗すると、flar create コマンドは 0 以外の終了コードを返します。
フラッシュアーカイブの作成方法の例については、例 — 初期インストール用アーカイブの作成を参照してください。
sysidcfg ファイルに一連のキーワードを指定すると、システムを事前設定できます。sysidcfg のキーワードと値の詳細は、sysidcfg ファイルによる事前設定を参照してください。
インストールサーバーで、テキストエディタを使って sysidcfg というファイルを作成します。
必要な sysidcfg のキーワードを入力します。
sysidcfg のキーワードの詳細については、sysidcfg ファイルキーワードを参照してください。
WAN ブートサーバーがアクセスできる場所に、この sysidcfg ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
SPARC ベースのシステムで使用される sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。
network_interface=primary {hostname=seahag default_route=192.168.88.1 ip_address=192.168.88.210 netmask=255.255.0.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
プロファイルは、システムへの Solaris ソフトウェアのインストール方法をカスタム JumpStart プログラムに指示するテキストファイルです。プロファイルには、インストール要素 (インストールするソフトウェアグループなど) を指定します。
プロファイルの作成方法の詳細は、プロファイルの作成を参照してください。
インストールサーバーで、テキストファイルを作成します。ファイルにわかりやすい名前を付けます。
プロファイルの名前は、システムに Solaris ソフトウェアをインストールするためにそのプロファイルをどのように使用するかを示すものにしてください。 (例: basic_install、eng_profile、user_profile)。
プロファイルにプロファイルキーワードと値を追加します。
プロファイルのキーワードと値の一覧は、プロファイルキーワードと値を参照してください。
プロファイルキーワードとプロファイル値には、大文字と小文字の区別があります。
WAN ブートサーバーがアクセスできる場所に、このプロファイルを保存します。
このプロファイルを次のどちらかの場所に保存します。
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
プロファイルの所有者が root で、そのアクセス権が 644 に設定されていることを確認します。
(省略可能) プロファイルをテストします。
プロファイルのテストに関する情報については、プロファイルのテストを参照してください。
次の例のプロファイルは、カスタム JumpStart プログラムに対し、HTTPS サーバーからフラッシュアーカイブを取得するように指示します。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.255.255/solarisupdate.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
この例で使用されているキーワードと値の一部について、次のリストで説明します。
このプロファイルにより、フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。
圧縮されたフラッシュアーカイブが HTTPS サーバーから取得されます。
partitioning の値が explicit であるため、ファイルシステムスライスは、filesys キーワードによって指定します。ルート (/) のサイズは、フラッシュアーカイブのサイズに基づいて決定されます。swap は、必要なサイズに設定された上で c0t1d0s1 上にインストールされます。/export/home のサイズは、残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。
rules ファイルは、Solaris オペレーティング環境のインストール先となる各システムグループのルールを記述したテキストファイルです。各ルールは 1 つ以上のシステム属性に基づいてシステムグループを識別し、各グループをプロファイルにリンクします。プロファイルは、グループ内の各システムに Solaris ソフトウェアがどのようにインストールされるかを定義するテキストファイルです。たとえば、次のルールは JumpStart プログラムが basic_prof プロファイル内の情報を使用し、sun4u プラットフォームグループに属するすべてのシステムに対してインストールを実行することを示します。
karch sun4u - basic_prof - |
rules ファイルを使用して、カスタム JumpStart インストールに必要な rules.ok ファイルを作成します。
rules ファイルの作成方法の詳細については、rules ファイルの作成を参照してください。
インストールサーバーで、rules という名前のテキストファイルを作成します。
インストール対象であるシステムのグループごとに、適用するルールを rules ファイルに追加します。
rules ファイルの作成方法の詳細については、rules ファイルの作成を参照してください。
インストールサーバーに rules ファイルを保存します。
$ ./check [[-p path -r file-name]] |
使用しているシステムの check スクリプトではなく Solaris 9 ソフトウェアイメージの check スクリプトを使用して rules を検証します。path は、ローカルディスク、マウントされた Solaris DVD、または Solaris SOFTWARE 1 of 2 CD 上のイメージです。
システムが以前のバージョンの Solaris を実行している場合、このオプションを使用して、最新バージョンの check スクリプトを実行します。
名前が rules 以外の rules ファイル名を指定します。このオプションを使用すると、rules ファイルに組み込む前にルールの妥当性を検査できます。
check スクリプトを実行すると、rules ファイルの有効性と各プロファイルの有効性の検査結果が表示されます。エラーが検出されないと、The custom JumpStart configuration is ok と表示されます。check スクリプトによって rules.ok ファイルが作成されます。
WAN ブートサーバーがアクセスできる場所に、この rules.ok ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
root が rules.ok ファイルを所有していて、そのアクセス権が 644 に設定されていることを確認します。
rules ファイルの例については、rules ファイルの例を参照してください。
「begin スクリプト」と「finish スクリプト」は、ユーザーが定義する Bourne シェルスクリプトで、rules ファイル内で指定します。begin スクリプトは、Solaris ソフトウェアがシステムにインストールされる前に作業を実行します。finish スクリプトは、Solaris ソフトウェアがシステムにインストールされた後、システムがリブートする前に作業を実行します。これらのスクリプトは、カスタム JumpStart インストールで Solaris をインストールするときのみ使用できます。
begin スクリプトを使用すると、動的プロファイルを作成できます。finish スクリプトを使用すると、ファイル、パッケージ、パッチ、ほかのソフトウェアの追加など、各種のポストインストール作業を実行できます。
begin スクリプトと finish スクリプトは、インストールサーバー上で sysidcfg、rules.ok、およびプロファイルの各ファイルと同じディレクトリに保存する必要があります。
begin スクリプトの作成方法については、begin スクリプトの作成を参照してください。
finish スクリプトの作成方法については、finish スクリプトの作成を参照してください。
WAN ブートでは、WAN ブートインストールに必要なデータとファイルの場所が、次のファイルによって指定されます。
システム構成ファイル (system.conf)
wanboot.conf ファイル
ここでは、これら 2 つのファイルの作成方法と保存方法について説明します。
システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。
sysidcfg ファイル
rules.ok ファイル
カスタム JumpStart プロファイル
WAN ブートは、システム構成ファイルのポインタに従って、クライアントに対してインストールと構成を行います。
システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。
設定=値
システム構成ファイルを使って sysidcfg、rules.ok、およびプロファイルの各ファイルの場所を WAN インストールプログラムに指示するには、次の手順を実行します。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
このシステム構成ファイルに、次のエントリを追加します。
sysidcfg ファイルが置かれているインストールサーバー上の flash ディレクトリを指定します。この URL は、sysidcfg ファイルの作成で作成した sysidcfg ファイルへのパスと一致するようにしてください。
HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
rules.ok ファイル、プロファイルファイル、および begin スクリプトと finish スクリプトが置かれているインストールサーバー上の Solaris Flash ディレクトリを指定します。この URL は、プロファイルの作成および rules ファイルの作成で作成したカスタム JumpStart ファイルへのパスと一致するようにしてください。
HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。
管理上の目的から、WAN ブートサーバーの /etc/netboot ディレクトリにある適切なクライアントのディレクトリに、このファイルを保存することもできます。
システム構成ファイルのアクセス権を 600 に変更します。
# chmod 600 /path/system-conf-file |
システム構成ファイルが置かれているディレクトリへのパスを指定します。
システム構成ファイルの名前を指定します。
次の例で、WAN ブートプログラムは、Web サーバー https://www.example.com のポート 1234 上で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。インストール時、Web サーバーは HTTPS を使ってデータとファイルを暗号化します。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ htdocs の flash サブディレクトリに置かれています。
SsysidCF=https://www.example.com:1234/htdocs/flash SjumpsCF=https://www.example.com:1234/htdocs/flash
次の例で、WAN ブートプログラムは、Web サーバー http://www.example.com で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。Web サーバーは HTTP を使用するため、インストール時にデータやファイルは保護されません。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ htdocs の flash サブディレクトリに置かれています。
SsysidCF=http://www.example.com/htdocs/flash SjumpsCF=http://www.example.com/htdocs/flash
wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートプログラムで使用されます。wanboot-cgi プログラム、ブートファイルシステム、および WAN ブートミニルートはすべて、wanboot.conf ファイルに保存されている情報を使ってクライアントマシンのインストールを行います。
WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。
WAN ブートサーバーで Solaris 9 12/03 オペレーティング環境が稼働している場合は、/etc/inet/wanboot.conf.sample に wanboot.conf ファイルの例があります。この例は、WAN ブートインストール用のテンプレートとして使用できます。
wanboot.conf ファイルには、次の情報を指定する必要があります。
表 40–2 wanboot.conf ファイルに指定する情報
これらの情報を指定するには、パラメータとその値を次の書式で列挙します。
パラメータ=値
wanboot.conf ファイルのパラメータと構文については、wanboot.conf ファイルのパラメータと構文を参照してください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
wanboot.conf テキストファイルを作成します。
wanboot.conf という名前の新しいテキストファイルを作成するか、/etc/inet/wanboot.conf.sample にあるファイル例を使用します。ファイル例を使用する場合は、パラメータを追加したあとで、ファイルの名前を wanboot.conf に変更してください。
インストール用のパラメータと値を wanboot.conf に入力します。
wanboot.conf のパラメータと値については、wanboot.conf ファイルのパラメータと構文を参照してください。
/etc/netboot ディレクトリの適切なサブディレクトリに wanboot.conf ファイルを保存します。
/etc/netboot ディレクトリの作成方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
WAN ブートサーバーにあるクライアントの wanboot.conf ファイルへのパスを指定します。
wanboot.conf ファイルが構造的に有効であれば、bootconfchk コマンドは終了コード 0 を返します。
wanboot.conf ファイルが無効であれば、bootconfchk コマンドは 0 以外の終了コードを返します。
wanboot.conf ファイルのアクセス権を 600 に変更します。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
次の wanboot.conf ファイル例には、HTTPS を使った WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで 3DES 暗号化鍵を使用することも指示されています。
boot_file=/wanboot/wanboot.s9_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=system.conf
この wanboot.conf ファイルで指定されている構成は次のとおりです。
二次レベルのブートプログラムの名前は wanboot.s9_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
WAN ブートサーバー上の wanboot-cgi プログラムの場所は https://www.example.com:1234/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。
WAN ブートミニルートの名前は miniroot.s9_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot ディレクトリに置かれています。
wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。
wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、3DES 暗号化鍵で暗号化されます。
インストール時にサーバー認証が行われます。
インストール時にクライアント認証は行われません。
WAN インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
HTTPS を使って WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されたシステム構成ファイルは、/etc/netboot ディレクトリのサブディレクトリに置かれています。システム構成ファイルの名前は system.conf です。
次の wanboot.conf ファイル例には、HTTP を使ったセキュリティの低い WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで暗号化鍵やハッシュキーを使用しないことも指示されています。
boot_file=/wanboot/wanboot.s9_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=system.conf
この wanboot.conf ファイルで指定されている構成は次のとおりです。
二次レベルのブートプログラムの名前は wanboot.s9_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
WAN ブートサーバー上の wanboot-cgi プログラムの場所は http://www.example.com/cgi-bin/wanboot-cgi です。このインストールでは HTTPS を使用しません。
WAN ブートミニルートの名前は miniroot.s9_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot サブディレクトリに置かれています。
wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、ハッシュキーで署名されません。
wanboot.s9_sparc プログラムとブートファイルシステムは、暗号化されません。
インストール時に、キーや証明書によるサーバー認証は行われません。
インストール時に、キーや証明書によるクライアント認証は行われません。
インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されたシステム構成ファイルは、system.conf という名前です。このファイルは、/etc/netboot ディレクトリにある適切なクライアントのサブディレクトリに置かれています。
ネットワークで DHCP サーバーを使用する場合は、次の情報を提供するように DHCP サーバーを構成できます。
プロキシサーバーの IP アドレス
wanboot-cgi プログラムの場所
WAN ブートインストールでは、次の DHCP ベンダーオプションを使用できます。
Solaris DHCP サーバーにこれらのベンダーオプションを設定する方法については、DHCP サービスによるシステム構成情報の事前設定 (作業)を参照してください。
Solaris DHCP サーバーの設定方法については、『Solaris のシステム管理 (IP サービス)』の「DHCP サービスの構成 (手順)」を参照してください。
クライアント以外のシステムでブートログメッセージとインストールログメッセージを記録するには、ログサーバーを設定する必要があります。インストール時に HTTPS を介してログサーバーを使用するには、WAN ブートサーバーをログサーバーとして構成する必要があります。
ログサーバーを構成するには、次の手順を実行します。
ログサーバーの CGI スクリプトディレクトリに bootlog-cgi スクリプトをコピーします。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
ログサーバーの Web サーバーディレクトリにある cgi-bin ディレクトリを指定します。
bootlog-cgi スクリプトのアクセス権を 755 に変更します。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
wanboot.conf ファイル内の boot_logger パラメータの値を設定します。
wanboot.conf ファイルに、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。
wanboot.conf ファイルのパラメータの設定方法については、wanboot.conf ファイルの作成を参照してください。
インストール時、ログサーバーの /tmp ディレクトリに、ブートログメッセージとインストールログメッセージが記録されます。ログファイルの名前は bootlog.hostname となります。hostname は、クライアントのホスト名です。
次の例では、WAN ブートサーバーをログサーバーとして構成します。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |