Solaris 9 12/03 インストールガイド

第 40 章 WAN ブートによるインストールの準備 (作業)

この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。必要な作業は次のとおりです。

作業マップ: 広域ネットワーク経由でインストールを行うための準備

次の表は、WAN ブートインストールの準備に必要な作業の一覧です。使用する WAN ブートインストール構成に応じて、必要な作業かどうかを作業説明から判断してください。

HTTPS によるセキュリティ保護された WAN ブートインストールについては、セキュリティ保護された WAN ブートインストール構成を参照してください。
セキュリティ保護されていない WAN ブートインストールについては、セキュリティ保護されていない WAN ブートインストール構成を参照してください。

DHCP サーバーやログサーバーを使用するには、表の末尾にある追加作業を実行する必要があります。

表 40–1 作業マップ： WAN ブートインストールを実行するための準備


作業	説明	参照先
インストールで使用するセキュリティ機能を決定する	セキュリティ機能と構成について検討し、WAN ブートインストールで使用するセキュリティのレベルを決定する	WAN ブートインストール時のデータの保護 WAN ブートでサポートされているセキュリティ構成 (概要)
WAN ブートインストール情報を収集する	ワークシートを使って、WAN ブートインストールの実行に必要なすべての情報を記録する	WAN ブートインストールに必要な情報の収集
WAN ブートサーバーにドキュメントルートディレクトリを作成する	構成ファイルとインストールファイルを提供するために、ドキュメントルートディレクトリと必要に応じてサブディレクトリを作成するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	ドキュメントルートディレクトリの作成
WAN ブートミニルートを作成する	`setup_install_server` コマンドを使って、WAN ブートミニルートを作成するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	SPARC: WAN ブートミニルートを作成する方法
WAN ブートサーバーに `wanboot` プログラムをインストールする	WAN ブートサーバーのドキュメントルートディレクトリに `wanboot` プログラムをコピーするこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	WAN ブートサーバーへの `wanboot` プログラムのインストール
WAN ブートサーバーに `wanboot-cgi` プログラムをインストールする	WAN ブートサーバーの CGI ディレクトリに `wanboot-cgi` プログラムをコピーするこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	WAN ブートサーバーに `wanboot-cgi` プログラムをコピーする方法
`/etc/netboot` 階層を設定する	WAN ブートインストールに必要な構成ファイルとセキュリティファイルを `/etc/netboot` 階層に格納するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	WAN ブートサーバーに `/etc/netboot` ディレクトリを作成する
WAN ブートインストールのセキュリティを高めるために、HTTPS を使用するように Web サーバーを構成する	HTTPS を使って WAN インストールを実行するための Web サーバー要件に合わせるこの作業は、セキュリティ保護されたインストール構成に必要	(省略可能) HTTPS によるデータの保護
WAN ブートインストールのセキュリティを高めるために、デジタル証明書の形式を変更する	PKCS#12 ファイルを、WAN インストールで使用できるように非公開鍵と証明書に分割するこの作業は、セキュリティ保護されたインストール構成に必要	信頼できる証明書およびクライアントの非公開鍵の作成
WAN ブートインストールのセキュリティを高めるために、ハッシュキーと暗号化鍵を作成する	`wanbootutil keygen` コマンドを使って、HMAC SHA1、3DES、または AES キーを作成するこの作業は、セキュリティ保護されたインストール構成に必要。セキュリティ保護されていないインストールで、データの完全性をチェックする場合は、この作業を実行して HMAC SHA1 ハッシュキーを作成する	ハッシュキーと暗号化鍵を作成する方法
フラッシュアーカイブを作成する	`flar create` コマンドを使って、クライアントにインストールするソフトウェアのアーカイブを作成するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	フラッシュアーカイブを作成する方法
カスタム JumpStart インストール用のインストールファイルを作成する	テキストエディタを使って、次のファイルを作成する `sysidcfg` プロファイル `rules.ok` begin スクリプト finish スクリプトこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	`sysidcfg` ファイルの作成プロファイルの作成 `rules` ファイルの作成 (省略可能) begin スクリプトと finish スクリプトの作成
システム構成ファイルを作成する	`system.conf` ファイルに構成情報を設定するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	システム構成ファイルを作成する方法
WAN ブート構成ファイルを作成する	`wanboot.conf` ファイルに構成情報を設定するこの作業は、セキュリティ保護されたインストール構成とセキュリティ保護されていないインストール構成の両方に必要	`wanboot.conf` ファイルを作成する方法
(省略可能) WAN ブートインストールをサポートするように DHCP サーバーを構成する	DHCP サーバーに Sun ベンダーオプションとマクロを設定する	DHCP サービスによるシステム構成情報の事前設定 (作業)
(省略可能) ログサーバーを構成する	ブートおよびインストールのログメッセージを表示するための専用システムを構成する	(省略可能) WAN ブートログサーバーの構成

WAN ブートサーバーの構成

WAN ブートサーバーは、WAN ブートインストール時にブートデータと構成データを提供する Web サーバーです。WAN ブートサーバーのシステム要件のリストについては、表 39–1 を参照してください。

ここでは、WAN ブートインストールを行うために WAN ブートサーバーを構成する方法について説明します。必要な作業は次のとおりです。

ドキュメントルートディレクトリの作成

構成ファイルとインストールファイルを提供するには、WAN ブートサーバーの Web サーバーソフトウェアがこれらのファイルにアクセスできるようにする必要があります。たとえば、WAN ブートサーバーのドキュメントルートディレクトリにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。

構成ファイルとインストールファイルの提供にドキュメントルートディレクトリを使用するには、このディレクトリを作成する必要があります。ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。ドキュメントルートディレクトリの設計方法については、ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存を参照してください。

WAN ブートミニルートの作成

WAN ブートでは、WAN ブートインストール用に変更された特別な Solaris ミニルートが使用されます。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが入っています。WAN ブートインストールを実行するには、Solaris DVD または Solaris SOFTWARE 1 of 2 CD から、このミニルートを WAN ブートサーバーにコピーする必要があります。-w オプションを指定して setup_install_server コマンドを実行し、Solaris ソフトウェアのメディアからシステムのハードディスクに WANブートミニルートをコピーします。

次の手順では、SPARC メディアを使って SPARC WAN ブートミニルートを作成します。x86 ベースのサーバーから SPARC WAN ブートミニルートを提供するには、まず SPARC マシンにミニルートを作成する必要があります。次に、作成したミニルートを、x86 ベースのサーバーのドキュメントルートディレクトリにコピーします。

setup_install_server コマンドの詳細は、第 12 章「CD メディアを使用してネットワークからインストールするための準備」を参照してください。

SPARC: WAN ブートミニルートを作成する方法

この手順では、WAN ブートサーバーでボリュームマネージャを実行していると仮定します。ボリュームマネージャを使用していない場合は、ボリュームマネージャを使用せずにリムーバブルメディアを管理する方法について、『Solaris のシステム管理 (基本編)』を参照してください。

WAN ブートサーバー上でスーパーユーザーになります。

システムの必要条件は以下のとおりです。
- CD-ROM ドライブまたは DVD-ROM ドライブを備えていること
- サイトのネットワークおよびネームサービスに組み込まれていること
  
  ネームサービスを使用する場合は、システムがすでに NIS、NIS+、DNS、LDAP のいずれかのネームサービスに登録されていなければなりません。ネームサービスを使用しない場合は、サイトのポリシーに従ってシステムの情報を供給する必要があります。

Solaris SOFTWARE 1 of 2 CD または Solaris DVD をインストールサーバーのドライブに挿入します。

WAN ブートミニルートと Solaris インストールイメージを置くためのディレクトリを作成します。
# mkdir -p wan-dir-path install-dir-path
-p

目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。

wan-dir-path

WAN ブートミニルートの作成先となる、インストールサーバー上のディレクトリを指定します。このディレクトリには、ミニルートを格納できる容量が必要です。ミニルートの標準サイズは 250 M バイトです。

install-dir-path

Solaris ソフトウェアイメージのコピー先となる、インストールサーバー上のディレクトリを指定します。この手順の後半で、このディレクトリは削除できます。

マウントされたディスクの Tools ディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools
上の例では、cdrom0 は、Solaris オペレーティング環境のメディアを含むドライブへのパスです。

WAN ブートミニルートと Solaris ソフトウェアイメージを、WAN ブートサーバーのハードディスクにコピーします。
# ./setup_install_server -w wan-dir-path install-dir-path
wan-dir-path

WAN ブートミニルートをコピーするディレクトリを指定します。

install-dir-path

Solaris ソフトウェアイメージをコピーするディレクトリを指定します。

注 –
setup_install_server コマンドは、Solaris SOFTWARE ディスクイメージをコピーする十分なディスク容量があるかどうかを調べます。利用できるディスク容量を調べるには、df -kl コマンドを使用します。

setup_install_server -w コマンドは、WAN ブートミニルートと、Solaris ソフトウェアのネットワークインストールイメージを作成します。

(省略可能) ネットワークインストールイメージを削除します。

フラッシュアーカイブを使って WAN インストールを実行する場合、Solaris ソフトウェアイメージは不要です。ほかのネットワークインストールに使用する予定がない場合は、ネットワークインストールイメージを削除して、ディスクの空き領域を増やすことができます。ネットワークインストールイメージを削除するには、次のコマンドを入力します。
# rm -rf install-dir-path

次のどちらかの方法で、WAN ブートサーバーが WAN ブートミニルートにアクセスできるようにします。
- WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートへのシンボリックリンクを作成します。
  # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .
  document-root-directory/miniroot
  
  WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、WAN ブートミニルートにリンクするものを指定します。
  
  /wan-dir-path/miniroot
  
  WAN ブートミニルートへのパスを指定します。
- WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
  # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name
  wan-dir-path/miniroot
  
  WAN ブートミニルートへのパスを指定します。
  
  /document-root-directory/miniroot/
  
  WAN ブートサーバーのドキュメントルートディレクトリにある WAN ブートミニディレクトリへのパスを指定します。
  
  miniroot-name
  
  WAN ブートミニルートの名前を指定します。miniroot.s9_sparc のように、わかりやすい名前をファイルに付けます。

WAN ブートサーバーへの `wanboot` プログラムのインストール

WAN ブートでは、特別な二次レベルのブートプログラム wanboot が、クライアントのインストールに使用されます。wanboot プログラムは、WAN ブートインストールの実行に必要な、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込みます。

WAN ブートインストールを実行するには、インストール時に wanboot プログラムをクライアントに提供する必要があります。次の方法で、このプログラムをクライアントに提供できます。

クライアントの PROM が WAN ブートに対応している場合は、WAN ブートサーバーからクライアントにプログラムを転送できます。クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、クライアント OBP での WAN ブート対応の確認を参照してください。
クライアントの PROM が WAN ブートに対応していない場合は、ローカル CD を使ってクライアントにプログラムを提供する必要があります。クライアントの PROM が WAN ブートに対応していない場合は、WAN ブートサーバーに /etc/netboot ディレクトリを作成するに進み、インストールの準備を続行します。

SPARC: WAN ブートサーバーに `wanboot` プログラムをインストールする方法

インストールサーバー上でスーパーユーザーになります。

Solaris SOFTWARE 1 of 2 CD または Solaris DVD をインストールサーバーのドライブに挿入します。

Solaris SOFTWARE 1 of 2 CD または Solaris DVD の sun4u プラットフォームディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/

インストールサーバーに wanboot プログラムをコピーします。
# cp wanboot /document-root-directory/wanboot/wanboot-name
document-root-directory

WAN ブートサーバーのドキュメントルートディレクトリを指定します。

wanboot-name

wanboot プログラムの名前を指定します。wanboot.s9_sparc のように、わかりやすい名前をファイルに付けます。

次のどちらかの方法で、WAN ブートサーバーが wanboot プログラムにアクセスできるようにします。
- WAN ブートサーバーのドキュメントルートディレクトリに、wanboot プログラムへのシンボリックリンクを作成します。
  # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .
  document-root-directory/wanboot
  
  WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、wanboot プログラムにリンクするものを指定します。
  
  /wan-dir-path/wanboot
  
  wanboot プログラムへのパスを指定します。
- WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
  # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name
  wan-dir-path/wanboot
  
  wanboot プログラムへのパスを指定します。
  
  /document-root-directory/wanboot/
  
  WAN ブートサーバのドキュメントルートディレクトリにある wanboot プログラムディレクトリへのパスを指定します。
  
  wanboot-name
  
  wanboot プログラムの名前を指定します。wanboot.s9_sparc のように、わかりやすい名前をファイルに付けます。

WAN ブートサーバーに `/etc/netboot` ディレクトリを作成する

インストール時に WAN ブートは、Web サーバーの /etc/netboot ディレクトリの内容を参照して、インストールの実行方法に関する指示を取得します。このディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。インストール時、この情報は wanboot-cgi プログラムによって WAN ブートファイルシステムに変換されます。その後、wanboot-cgi プログラムは WAN ブートファイルシステムをクライアントに転送します。

/etc/netboot ディレクトリの設計方法については、/etc/netboot ディレクトリへの構成情報とセキュリティ情報の保存を参照してください。

`/etc/netboot` ディレクトリを作成する方法

WAN ブートサーバー上でスーパーユーザーになります。

/etc/netboot ディレクトリを作成します。
# mkdir /etc/netboot

/etc/netboot ディレクトリのアクセス権を 700 に変更します。
# chmod 700 /etc/netboot

/etc/netboot ディレクトリの所有者を、Web サーバーの所有者に変更します。
# chown web-server-user:web-server-group /etc/netboot/
web-server-user

Web サーバープロセスの所有者であるユーザーを指定します。

web-server-group

Web サーバープロセスの所有者であるグループを指定します。

スーパーユーザーを終了します。
# exit

Web サーバー所有者の役割になります。

/etc/netboot ディレクトリに、クライアントのサブディレクトリを作成します。
# mkdir -p /etc/netboot/net-ip/client-ID
-p

目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。

(省略可能) net-ip

クライアントのサブネットのネットワーク IP アドレスを指定します。

(省略可能) client-ID

クライアント ID を指定します。クライアント ID は、ユーザーが定義した値か、DHCP クライアント ID です。client-ID ディレクトリは、net-ip ディレクトリのサブディレクトリである必要があります。

/etc/netboot ディレクトリ内の各サブディレクトリについて、アクセス権を 700 に変更します。
# chmod 700 /etc/netboot/dir-name
dir-name

/etc/netboot ディレクトリ内のサブディレクトリの名前を指定します。

例 40–1 WAN ブートサーバーに `/etc/netboot` ディレクトリを作成する

次の例は、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 に対応する /etc/netboot ディレクトリの作成方法を示しています。この例では、nobody というユーザーと admin というグループが、Web サーバープロセスを所有しています。

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

WAN ブートサーバーへの WAN ブート CGI プログラムのコピー

wanboot-cgi プログラムは、WAN ブートサーバーからクライアントに次のファイルを転送するデータストリームを作成します。

wanboot プログラム
WAN ブートファイルシステム
WAN ブートミニルート

Solaris 9 12/03 オペレーティング環境をインストールすると、wanboot-cgi プログラムもシステムにインストールされます。WAN ブートサーバーがこのプログラムを使用できるようにするには、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムをコピーします。

WAN ブートサーバーに `wanboot-cgi` プログラムをコピーする方法

WAN ブートサーバー上でスーパーユーザーになります。

WAN ブートサーバーに wanboot-cgi プログラムをコピーします。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi
/WAN-server-root

WAN ブートサーバー上の Web サーバーソフトウェアのルートディレクトリを指定します。

WAN ブートサーバーで、CGI プログラムのアクセス権を 755 に変更します。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

(省略可能) HTTPS によるデータの保護

WAN ブートサーバーからクライアントへの転送中にデータを保護するために、HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。セキュリティ保護された WAN ブートインストール構成に説明されている、より高いセキュリティで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。

WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次の作業を実行します。

Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。

SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティ機能を有効にする方法については、このマニュアルでは説明していません。これらの機能については、次のマニュアルを参照してください。
- SunONE Web サーバーおよび iPlanet Web サーバーで SSL を有効にする方法については、http://docs.sun.com にある Sun ONE および iPlanet のマニュアルコレクションを参照してください。
- Apache Web サーバーで SSL を有効にする方法については、http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。
- 上記以外の Web サーバーソフトウェアを使用している場合は、そのソフトウェアのマニュアルを参照してください。
WAN ブートサーバーにデジタル証明書をインストールします。

WAN ブートでデジタル証明書を使用する方法については、サーバー認証とクライアント認証のためのデジタル証明書の使用を参照してください。
信頼できる証明書をクライアントに提供します。

信頼できる証明書の作成方法については、サーバー認証とクライアント認証のためのデジタル証明書の使用を参照してください。
ハッシュキーと暗号化鍵を作成します。

キーの作成方法については、ハッシュキーと暗号化鍵の作成を参照してください。
(省略可能) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。

クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのマニュアルを参照してください。

サーバー認証とクライアント認証のためのデジタル証明書の使用

WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、デジタル証明書の要件を参照してください。

WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。

PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。
/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。
(省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。

wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。

PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。

/etc/netboot ディレクトリの概要については、/etc/netboot ディレクトリへの構成情報とセキュリティ情報の保存を参照してください。
/etc/netboot ディレクトリの作成方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。

信頼できる証明書およびクライアントの非公開鍵の作成

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
p12split

wanbootutil コマンドのオプション。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。

-i p12cert

分割する PKCS#12 ファイルの名前を指定します。

-t /etc/netboot/net-ip/client-ID/truststore

クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

(省略可能) クライアント認証を要求するかどうかを決定します。
- 要求する場合は、引き続き次の手順を実行します。
- 要求しない場合は、ハッシュキーと暗号化鍵の作成へ進みます。
1. クライアントの certstore にクライアントの証明書を挿入します。
  # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
  p12split
  
  wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
  
  -i p12cert
  
  分割する PKCS#12 ファイルの名前を指定します。
  
  -c /etc/netboot/net-ip/client-ID/certstore
  
  クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
  
  -k keyfile
  
  PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
2. クライアントの keystore に非公開鍵を挿入します。
  # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
  keymgmt -i
  
  クライアントの keystore に SSL 非公開鍵を挿入します。
  
  -k keyfile
  
  前の手順で作成したクライアントの非公開鍵ファイルの名前を指定します。
  
  -s /etc/netboot/net-ip/client-ID/keystore
  
  クライアントの keystore へのパスを指定します。
  
  -o type=rsa
  
  キータイプとして RSA を指定します。

例 40–2 サーバー認証用の信頼できる証明書を作成する

次の例では、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。

# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

ハッシュキーと暗号化鍵の作成

HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半私設のネットワーク上でインストールを行うときなど、インストールデータの暗号化が不要な場合もあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。ハッシュキーと暗号化鍵の概要については、WAN ブートインストール時のデータの保護を参照してください。

wanbootutil keygen コマンドを使用すると、これらのキーを生成し、/etc/netboot の適切なディレクトリに保存できます。

ハッシュキーと暗号化鍵を作成する方法

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

HMAC SHA1 マスターキーを作成します。
# wanbootutil keygen -m
keygen -m

WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。

このマスターキーから、クライアントの HMAC SHA1 ハッシュキーを作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
-c

クライアントのハッシュキーをマスターキーから作成します。

-o

wanbootutil keygen コマンドに追加オプションが含まれていることを示します。

(省略可能) net=net-ip

クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。

(省略可能) cid=client-ID

クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。

type=sha1

クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティに指示します。

クライアントの暗号化鍵を作成する必要があるかどうかを決定します。

HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。
- サーバー認証を伴う、より高いセキュリティ保護された WAN インストールを HTTPS で実行する場合は、次の手順に進みます。
- wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。手順 6 に進みます。

クライアントの暗号化鍵を作成します。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type
-c

クライアントの暗号化鍵を作成します。

-o

wanbootutil keygen コマンドに追加オプションが含まれていることを示します。

(省略可能) net=net-ip

クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。

(省略可能) cid=client-ID

クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。

type=key-type

クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティに指示します。key-type には、3des または aes という値を指定できます。

クライアントシステムにキーをインストールします。

クライアントにキーをインストールする方法については、クライアントに対するキーのインストールを参照してください。

例 40–3 HTTPS を介して WAN ブートインストールを実行するために必要なキーを作成する

次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。また、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。

# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des

カスタム JumpStart インストールファイルの作成

WAN ブートは、カスタム JumpStart インストールを実行して、フラッシュアーカイブをクライアントにインストールします。カスタム JumpStart は、あらかじめ作成したプロファイルを使って、複数のシステムのインストールを自動的にかつ同時に行うことができる、コマンド行インタフェースです。プロファイルには、どのようにソフトウェアをインストールするかを定義します。さらに、インストール前とインストール後に実行する作業を、シェルスクリプトを使用して指定することができます。システムのインストールまたはアップグレードにどのプロファイルとスクリプトを使用するかを選択できます。カスタム JumpStart では、選択したプロファイルとスクリプトに基づいて、システムのインストールまたはアップグレードが行われます。また、sysidcfg ファイルを使用して構成情報を指定することにより、カスタム JumpStart インストールを完全に自動化することも可能です。

WAN ブートインストール用のカスタム JumpStart ファイルを準備するには、次の作業を実行します。

カスタム JumpStart インストールの詳細は、第 22 章「カスタム JumpStart の概要」を参照してください。

フラッシュアーカイブの作成

フラッシュインストール機能を利用すると、マスターシステムと呼ばれるシステム上の Solaris オペレーティング環境を、単一の参照用インストールイメージとして使用できます。また、マスターシステムのイメージを複製して、フラッシュアーカイブを作成できます。ネットワーク内のほかのシステムにこのフラッシュアーカイブをインストールすることで、クローンシステムを作成できます。

ここでは、WAN ブートインストールで使用するフラッシュアーカイブの作成方法について説明します。フラッシュアーカイブを作成する前に、マスターシステムのインストールを行う必要があります。

マスターシステムのインストール方法については、マスターシステムへのインストールを参照してください。
フラッシュアーカイブの詳細については、第 18 章「フラッシュアーカイブの作成」を参照してください。

フラッシュアーカイブを作成する方法

フラッシュアーカイブの作成方法の詳細は、フラッシュアーカイブの作成を参照してください。

マスターシステムをブートします。

できるだけ静的な状態でマスターシステムを稼働させます。可能であれば、システムをシングルユーザーモードで実行してください。これが不可能な場合、アーカイブしたいアプリケーションおよび大量のオペレーティングシステムリソースを必要とするアプリケーションを停止します。

flar create コマンドを使用して、アーカイブを作成します。
# flar create -n name [optional-parameters] document-root/flash/filename
name

アーカイブに指定する名前です。指定する name は、content_name キーワードの値になります。

optional-parameters

flar create コマンドには、フラッシュアーカイブをカスタマイズするためのオプションをいくつか指定できます。これらのオプションの詳細は、第 20 章「フラッシュに関するリファレンス情報」を参照してください。

document-root/flash

インストールサーバーのドキュメントルートディレクトリにある Solaris Flash サブディレクトリへのパスです。

filename

アーカイブファイルの名前です。

ディスク容量を節約するために、flar create コマンドに -c オプションを指定してアーカイブを圧縮することもできます。ただし、アーカイブを圧縮すると、WAN ブートインストールのパフォーマンスに影響する場合があります。圧縮されたアーカイブの作成方法については、flar create(1M)のマニュアルページを参照してください。
- アーカイブの作成が正常に完了すると、flar create コマンドは終了コード 0 を返します。
- アーカイブの作成が失敗すると、flar create コマンドは 0 以外の終了コードを返します。

フラッシュアーカイブの作成方法の例については、例 — 初期インストール用アーカイブの作成を参照してください。

`sysidcfg` ファイルの作成

sysidcfg ファイルに一連のキーワードを指定すると、システムを事前設定できます。sysidcfg のキーワードと値の詳細は、sysidcfg ファイルによる事前設定を参照してください。

`sysidcfg` ファイルを作成する方法

インストールサーバーで、テキストエディタを使って sysidcfg というファイルを作成します。

必要な sysidcfg のキーワードを入力します。

sysidcfg のキーワードの詳細については、sysidcfg ファイルキーワードを参照してください。

WAN ブートサーバーがアクセスできる場所に、この sysidcfg ファイルを保存します。

このファイルを次のどちらかの場所に保存します。
- WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
- WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

例 40–4 WAN ブートインストール用の `sysidcfg` ファイル

SPARC ベースのシステムで使用される sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。

network_interface=primary {hostname=seahag
                           default_route=192.168.88.1
                           ip_address=192.168.88.210
                           netmask=255.255.0.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

プロファイルの作成

プロファイルは、システムへの Solaris ソフトウェアのインストール方法をカスタム JumpStart プログラムに指示するテキストファイルです。プロファイルには、インストール要素 (インストールするソフトウェアグループなど) を指定します。

プロファイルの作成方法の詳細は、プロファイルの作成を参照してください。

プロファイルを作成する方法

インストールサーバーで、テキストファイルを作成します。ファイルにわかりやすい名前を付けます。

プロファイルの名前は、システムに Solaris ソフトウェアをインストールするためにそのプロファイルをどのように使用するかを示すものにしてください。 (例: basic_install、eng_profile、user_profile)。

プロファイルにプロファイルキーワードと値を追加します。

プロファイルのキーワードと値の一覧は、プロファイルキーワードと値を参照してください。

プロファイルキーワードとプロファイル値には、大文字と小文字の区別があります。

WAN ブートサーバーがアクセスできる場所に、このプロファイルを保存します。

このプロファイルを次のどちらかの場所に保存します。
- WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
- WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

プロファイルの所有者が root で、そのアクセス権が 644 に設定されていることを確認します。

(省略可能) プロファイルをテストします。

プロファイルのテストに関する情報については、プロファイルのテストを参照してください。

例 40–5 HTTPS サーバーからフラッシュアーカイブを取得する

次の例のプロファイルは、カスタム JumpStart プログラムに対し、HTTPS サーバーからフラッシュアーカイブを取得するように指示します。

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.255.255/solarisupdate.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

この例で使用されているキーワードと値の一部について、次のリストで説明します。

install_type: このプロファイルにより、フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。
archive_location: 圧縮されたフラッシュアーカイブが HTTPS サーバーから取得されます。
partitioning: partitioning の値が explicit であるため、ファイルシステムスライスは、filesys キーワードによって指定します。ルート (/) のサイズは、フラッシュアーカイブのサイズに基づいて決定されます。swap は、必要なサイズに設定された上で c0t1d0s1 上にインストールされます。/export/home のサイズは、残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。

`rules` ファイルの作成

rules ファイルは、Solaris オペレーティング環境のインストール先となる各システムグループのルールを記述したテキストファイルです。各ルールは 1 つ以上のシステム属性に基づいてシステムグループを識別し、各グループをプロファイルにリンクします。プロファイルは、グループ内の各システムに Solaris ソフトウェアがどのようにインストールされるかを定義するテキストファイルです。たとえば、次のルールは JumpStart プログラムが basic_prof プロファイル内の情報を使用し、sun4u プラットフォームグループに属するすべてのシステムに対してインストールを実行することを示します。

karch sun4u - basic_prof -

rules ファイルを使用して、カスタム JumpStart インストールに必要な rules.ok ファイルを作成します。

rules ファイルの作成方法の詳細については、rules ファイルの作成を参照してください。

`rules` ファイルを作成する方法

インストールサーバーで、rules という名前のテキストファイルを作成します。

インストール対象であるシステムのグループごとに、適用するルールを rules ファイルに追加します。

rules ファイルの作成方法の詳細については、rules ファイルの作成を参照してください。

インストールサーバーに rules ファイルを保存します。

rules ファイルの妥当性検査を行います。
$ ./check [[-p path -r file-name]]
-p path

使用しているシステムの check スクリプトではなく Solaris 9 ソフトウェアイメージの check スクリプトを使用して rules を検証します。path は、ローカルディスク、マウントされた Solaris DVD、または Solaris SOFTWARE 1 of 2 CD 上のイメージです。

システムが以前のバージョンの Solaris を実行している場合、このオプションを使用して、最新バージョンの check スクリプトを実行します。

-r file_name

名前が rules 以外の rules ファイル名を指定します。このオプションを使用すると、rules ファイルに組み込む前にルールの妥当性を検査できます。

check スクリプトを実行すると、rules ファイルの有効性と各プロファイルの有効性の検査結果が表示されます。エラーが検出されないと、The custom JumpStart configuration is ok と表示されます。check スクリプトによって rules.ok ファイルが作成されます。

WAN ブートサーバーがアクセスできる場所に、この rules.ok ファイルを保存します。

このファイルを次のどちらかの場所に保存します。
- WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
- WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

root が rules.ok ファイルを所有していて、そのアクセス権が 644 に設定されていることを確認します。

rules ファイルの例については、rules ファイルの例を参照してください。

(省略可能) begin スクリプトと finish スクリプトの作成

「begin スクリプト」と「finish スクリプト」は、ユーザーが定義する Bourne シェルスクリプトで、rules ファイル内で指定します。begin スクリプトは、Solaris ソフトウェアがシステムにインストールされる前に作業を実行します。finish スクリプトは、Solaris ソフトウェアがシステムにインストールされた後、システムがリブートする前に作業を実行します。これらのスクリプトは、カスタム JumpStart インストールで Solaris をインストールするときのみ使用できます。

begin スクリプトを使用すると、動的プロファイルを作成できます。finish スクリプトを使用すると、ファイル、パッケージ、パッチ、ほかのソフトウェアの追加など、各種のポストインストール作業を実行できます。

begin スクリプトと finish スクリプトは、インストールサーバー上で sysidcfg、rules.ok、およびプロファイルの各ファイルと同じディレクトリに保存する必要があります。

begin スクリプトの作成方法については、begin スクリプトの作成を参照してください。
finish スクリプトの作成方法については、finish スクリプトの作成を参照してください。

構成ファイルの作成

WAN ブートでは、WAN ブートインストールに必要なデータとファイルの場所が、次のファイルによって指定されます。

システム構成ファイル (system.conf)
wanboot.conf ファイル

ここでは、これら 2 つのファイルの作成方法と保存方法について説明します。

システム構成ファイルの作成

システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。

sysidcfg ファイル
rules.ok ファイル
カスタム JumpStart プロファイル

WAN ブートは、システム構成ファイルのポインタに従って、クライアントに対してインストールと構成を行います。

システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。

設定=値

システム構成ファイルを使って sysidcfg、rules.ok、およびプロファイルの各ファイルの場所を WAN インストールプログラムに指示するには、次の手順を実行します。

システム構成ファイルを作成する方法

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

テキストファイルを作成します。sys-conf.s9–sparc のように、わかりやすい名前をファイルに付けます。

このシステム構成ファイルに、次のエントリを追加します。

SsysidCF=sysidcfg-file-URL

sysidcfg ファイルが置かれているインストールサーバー上の flash ディレクトリを指定します。この URL は、sysidcfg ファイルの作成で作成した sysidcfg ファイルへのパスと一致するようにしてください。

HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

SjumpsCF=jumpstart-files-URL

rules.ok ファイル、プロファイルファイル、および begin スクリプトと finish スクリプトが置かれているインストールサーバー上の Solaris Flash ディレクトリを指定します。この URL は、プロファイルの作成および rules ファイルの作成で作成したカスタム JumpStart ファイルへのパスと一致するようにしてください。

HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。

管理上の目的から、WAN ブートサーバーの /etc/netboot ディレクトリにある適切なクライアントのディレクトリに、このファイルを保存することもできます。

システム構成ファイルのアクセス権を 600 に変更します。
# chmod 600 /path/system-conf-file
path

システム構成ファイルが置かれているディレクトリへのパスを指定します。

system-conf-file

システム構成ファイルの名前を指定します。

例 40–6 HTTPS を介して WAN ブートインストールを行う場合のシステム構成ファイル

次の例で、WAN ブートプログラムは、Web サーバー https://www.example.com のポート 1234 上で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。インストール時、Web サーバーは HTTPS を使ってデータとファイルを暗号化します。

sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ htdocs の flash サブディレクトリに置かれています。

SsysidCF=https://www.example.com:1234/htdocs/flash
SjumpsCF=https://www.example.com:1234/htdocs/flash

例 40–7 セキュリティ保護されていない WAN ブートインストールを行う場合のシステム構成ファイル

次の例で、WAN ブートプログラムは、Web サーバー http://www.example.com で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。Web サーバーは HTTP を使用するため、インストール時にデータやファイルは保護されません。

sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ htdocs の flash サブディレクトリに置かれています。

SsysidCF=http://www.example.com/htdocs/flash
SjumpsCF=http://www.example.com/htdocs/flash

`wanboot.conf` ファイルの作成

wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートプログラムで使用されます。wanboot-cgi プログラム、ブートファイルシステム、および WAN ブートミニルートはすべて、wanboot.conf ファイルに保存されている情報を使ってクライアントマシンのインストールを行います。

WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。

WAN ブートサーバーで Solaris 9 12/03 オペレーティング環境が稼働している場合は、/etc/inet/wanboot.conf.sample に wanboot.conf ファイルの例があります。この例は、WAN ブートインストール用のテンプレートとして使用できます。

wanboot.conf ファイルには、次の情報を指定する必要があります。

表 40–2 wanboot.conf ファイルに指定する情報


情報の種類	説明
WAN ブートサーバーの情報	WAN ブートサーバー上の `wanboot` プログラムへのパス WAN ブートサーバー上の `wanboot-cgi` プログラムの URL
インストールサーバーの情報	インストールサーバー上の WAN ブートミニルートへのパス WAN ブートサーバー上のシステム構成ファイルへのパス。システム構成ファイルは、`sysidcfg` ファイルとカスタム JumpStart ファイルの場所を指定する
セキュリティ情報	WAN ブートファイルシステムまたは WAN ブートミニルートの署名タイプ WAN ブートファイルシステムの暗号化タイプ WAN ブートインストール時にサーバー認証を行うかどうか WAN ブートインストール時にクライアント認証を行うかどうか
省略可能な情報	WAN ブートインストール時にクライアントに対して解決する必要のある、追加のホストログサーバー上の `bootlog-cgi` スクリプトの URL

これらの情報を指定するには、パラメータとその値を次の書式で列挙します。

パラメータ=値

wanboot.conf ファイルのパラメータと構文については、wanboot.conf ファイルのパラメータと構文を参照してください。

`wanboot.conf` ファイルを作成する方法

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

wanboot.conf テキストファイルを作成します。

wanboot.conf という名前の新しいテキストファイルを作成するか、/etc/inet/wanboot.conf.sample にあるファイル例を使用します。ファイル例を使用する場合は、パラメータを追加したあとで、ファイルの名前を wanboot.conf に変更してください。

インストール用のパラメータと値を wanboot.conf に入力します。

wanboot.conf のパラメータと値については、wanboot.conf ファイルのパラメータと構文を参照してください。

/etc/netboot ディレクトリの適切なサブディレクトリに wanboot.conf ファイルを保存します。

/etc/netboot ディレクトリの作成方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。

wanboot.conf ファイルの妥当性検査を行います。
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf
path-to-wanboot.conf

WAN ブートサーバーにあるクライアントの wanboot.conf ファイルへのパスを指定します。
- wanboot.conf ファイルが構造的に有効であれば、bootconfchk コマンドは終了コード 0 を返します。
- wanboot.conf ファイルが無効であれば、bootconfchk コマンドは 0 以外の終了コードを返します。

wanboot.conf ファイルのアクセス権を 600 に変更します。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf

例 40–8 HTTPS を介して WAN ブートインストールを行う場合の `wanboot.conf` ファイル

次の wanboot.conf ファイル例には、HTTPS を使った WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで 3DES 暗号化鍵を使用することも指示されています。

boot_file=/wanboot/wanboot.s9_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=system.conf

この wanboot.conf ファイルで指定されている構成は次のとおりです。

boot_file=/wanboot/wanboot.s9_sparc: 二次レベルのブートプログラムの名前は wanboot.s9_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi: WAN ブートサーバー上の wanboot-cgi プログラムの場所は https://www.example.com:1234/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。
root_file=/miniroot/miniroot.s9_sparc: WAN ブートミニルートの名前は miniroot.s9_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot ディレクトリに置かれています。
signature_type=sha1: wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。
encryption_type=3des: wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、3DES 暗号化鍵で暗号化されます。
server_authentication=yes: インストール時にサーバー認証が行われます。
client_authentication=no: インストール時にクライアント認証は行われません。
resolve_hosts=: WAN インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi: HTTPS を使って WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
system_conf=system.conf: sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されたシステム構成ファイルは、/etc/netboot ディレクトリのサブディレクトリに置かれています。システム構成ファイルの名前は system.conf です。

例 40–9 セキュリティ保護されていない WAN ブートインストールを行う場合の `wanboot.conf` ファイル

次の wanboot.conf ファイル例には、HTTP を使ったセキュリティの低い WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで暗号化鍵やハッシュキーを使用しないことも指示されています。

boot_file=/wanboot/wanboot.s9_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=system.conf

この wanboot.conf ファイルで指定されている構成は次のとおりです。

boot_file=/wanboot/wanboot.s9_sparc: 二次レベルのブートプログラムの名前は wanboot.s9_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
root_server=http://www.example.com/cgi-bin/wanboot-cgi: WAN ブートサーバー上の wanboot-cgi プログラムの場所は http://www.example.com/cgi-bin/wanboot-cgi です。このインストールでは HTTPS を使用しません。
root_file=/miniroot/miniroot.s9_sparc: WAN ブートミニルートの名前は miniroot.s9_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot サブディレクトリに置かれています。
signature_type=: wanboot.s9_sparc プログラムと WAN ブートファイルシステムは、ハッシュキーで署名されません。
encryption_type=: wanboot.s9_sparc プログラムとブートファイルシステムは、暗号化されません。
server_authentication=no: インストール時に、キーや証明書によるサーバー認証は行われません。
client_authentication=no: インストール時に、キーや証明書によるクライアント認証は行われません。
resolve_hosts=: インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi: WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
system_conf=system.conf: sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されたシステム構成ファイルは、system.conf という名前です。このファイルは、/etc/netboot ディレクトリにある適切なクライアントのサブディレクトリに置かれています。

(省略可能) DHCP による構成情報の提供

ネットワークで DHCP サーバーを使用する場合は、次の情報を提供するように DHCP サーバーを構成できます。

プロキシサーバーの IP アドレス
wanboot-cgi プログラムの場所

WAN ブートインストールでは、次の DHCP ベンダーオプションを使用できます。

SHTTPproxy: ネットワークのプロキシサーバーの IP アドレスを指定します。
SbootURI: WAN ブートサーバー上の wanboot-cgi プログラムの URL を指定します。

Solaris DHCP サーバーにこれらのベンダーオプションを設定する方法については、DHCP サービスによるシステム構成情報の事前設定 (作業)を参照してください。

Solaris DHCP サーバーの設定方法については、『Solaris のシステム管理 (IP サービス)』の「DHCP サービスの構成 (手順)」を参照してください。

(省略可能) WAN ブートログサーバーの構成

クライアント以外のシステムでブートログメッセージとインストールログメッセージを記録するには、ログサーバーを設定する必要があります。インストール時に HTTPS を介してログサーバーを使用するには、WAN ブートサーバーをログサーバーとして構成する必要があります。

ログサーバーを構成するには、次の手順を実行します。

ログサーバーを構成する方法

ログサーバーの CGI スクリプトディレクトリに bootlog-cgi スクリプトをコピーします。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin
log-server-root/cgi-bin

ログサーバーの Web サーバーディレクトリにある cgi-bin ディレクトリを指定します。

bootlog-cgi スクリプトのアクセス権を 755 に変更します。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi

wanboot.conf ファイル内の boot_logger パラメータの値を設定します。

wanboot.conf ファイルに、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。

wanboot.conf ファイルのパラメータの設定方法については、wanboot.conf ファイルの作成を参照してください。

インストール時、ログサーバーの /tmp ディレクトリに、ブートログメッセージとインストールログメッセージが記録されます。ログファイルの名前は bootlog.hostname となります。hostname は、クライアントのホスト名です。

例 40–10 HTTPS を介して WAN ブートインストールを行う場合のログサーバーの構成

次の例では、WAN ブートサーバーをログサーバーとして構成します。

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi