WAN Boot 服务器是 Web 服务器,可在 WAN Boot 安装期间提供引导和配置数据。有关 WAN Boot 服务器的系统要求列表,请参见表 39–1。
本节说明了为 WAN Boot 安装配置 WAN Boot 服务器所需的以下任务。
要提供配置文件和安装文件,必须使 WAN Boot 服务器上的 Web 服务器软件可以访问这些文件。使这些文件可访问的一个方法是将它们存储在 WAN Boot 服务器的文档根目录中。
如果要通过文档根目录来提供配置文件和安装文件,则必须创建此文档根目录。有关如何创建文档根目录的信息,请参见 Web 服务器文档。有关如何设计文档根目录的详细信息,请参见在文档根目录中存储安装和配置文件。
WAN Boot 使用已被修改的特殊 Solaris 最小根文件系统来执行 WAN Boot 安装。WAN Boot 最小根文件系统包含 Solaris 最小根文件系统中软件的子集。为了执行 WAN Boot 安装,必须将最小根文件系统从 Solaris DVD 或 Solaris Software 1 of 2 CD 复制到 WAN Boot 服务器。请在 setup_install_server 命令中使用 - w 选项将 WAN Boot 最小根文件系统从 Solaris 软件介质复制到系统硬盘。
此过程将使用 SPARC 介质创建 SPARC WAN Boot 最小根文件系统。如果要通过基于 x86 的服务器提供 SPARC WAN Boot 最小根文件系统,则必须在 SPARC 计算机上创建最小根文件系统。创建最小根文件系统后,请将最小根文件系统复制到基于 x86 的服务器上的文档根目录中。
有关 setup_install_server 命令的附加信息,请参见第 12 章,准备使用 CD 介质从网络安装(任务)。
此过程假设 WAN Boot 服务器正在运行卷管理器。如果未使用卷管理器,请参见《System Administration Guide: Basic Administration》以获得有关在没有卷管理器的情况下管理可移动介质的信息。
成为 WAN Boot 服务器上的超级用户。
系统必须满足以下要求。
包含 CD-ROM 或 DVD-ROM 驱动器
是站点网络和名称服务的一部分
如果您使用了名称服务,该系统必须已经在名称服务(例如 NIS、NIS+、DNS 或 LDAP)中。如果没有使用名称服务,则必须按照站点策略来发布有关此系统的信息。
将 Solaris Software 1 of 2 CD 或 Solaris DVD 放入安装服务器的驱动器中。
为 WAN Boot 最小根文件系统和 Solaris 安装映像创建目录。
# mkdir -p wan-dir-path install-dir-path |
指示 mkdir 命令为要创建的目录创建所有必需的父目录。
在安装服务器上指定要在其中创建 WAN Boot 最小根文件系统的目录。此目录需要容纳大小通常为 250 MB 的最小根文件系统。
在安装服务器上指定 Solaris 软件映像要被复制到的目录。稍后在此过程中可以删除该目录。
更改到已安装磁盘上的 Tools 目录。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
在上面的实例中,cdrom0 是包含 Solaris 操作环境介质的驱动器的路径。
将 WAN Boot 最小根文件系统和 Solaris 软件映像复制到 WAN Boot 服务器的硬盘。
# ./setup_install_server -w wan-dir-path install-dir-path |
指定 WAN Boot 最小根文件系统要被复制到的目录
指定 Solaris 软件映像要被复制到的目录
setup_install_server 命令指示您是否有足够的磁盘空间可用于 Solaris 软件 磁盘映像。要确定可用磁盘空间,请使用 df -kl 命令。
setup_install_server -w 命令可以创建 Solaris 软件的 WAN Boot 最小根文件系统和网络安装映像。
(可选的) 删除网络安装映像。
无需 Solaris 软件映像即可使用 Solaris Flash 归档文件执行 WAN 安装。如果不打算使用网络安装映像进行其它网络安装,则可以释放磁盘空间。键入以下命令可以删除网络安装映像。
# rm -rf install-dir-path |
通过以下方法之一使 WAN Boot 最小根文件系统可用于 WAN Boot 服务器。
在 WAN Boot 服务器的文档根目录中创建至 WAN Boot 最小根文件系统的符号链接。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
在 WAN Boot 服务器的文档根目录中指定要链接至 WAN Boot 最小根文件系统的目录
指定 WAN Boot 最小根文件系统的路径
将 WAN Boot 最小根文件系统移到 WAN Boot 服务器的文档根目录中。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
指定 WAN Boot 最小根文件系统的路径。
在 WAN Boot 服务器的文档根目录中指定 WAN Boot 最小根文件系统目录的路径。
指定 WAN Boot 最小根文件系统的名称。描述性地命名该文件,例如 miniroot.s9_sparc。
WAN Boot 使用特殊的二级引导程序 (wanboot) 安装客户机。wanboot 程序将装入 WAN Boot 最小根文件系统、客户机配置文件以及执行 WAN Boot 安装所需的安装文件中。
要执行 WAN Boot 安装,必须在安装期间为客户机提供 wanboot 程序。可以使用以下方法为客户机提供此程序。
如果客户机的 PROM 支持 WAN Boot,则可以将程序从 WAN Boot 服务器传送至客户机。要查看客户机的 PROM 是否支持 WAN Boot,请参见检查客户机 OBP 的 WAN Boot 支持。
如果客户机的 PROM 不支持 WAN Boot,则必须通过本地 CD 为客户机提供程序。如果客户机的 PROM 不支持 WAN Boot,请转到在 WAN Boot 服务器上创建 /etc/netboot 分层结构 以继续为安装做准备。
此过程假设 WAN Boot 服务器正在运行卷管理器。如果未使用卷管理器,请参见《System Administration Guide: Basic Administration》以获得有关在没有卷管理器的情况下管理可移动介质的信息。
成为安装服务器上的超级用户。
将 Solaris Software 1 of 2 CD 或 Solaris DVD 放入安装服务器的驱动器中。
更改到 Solaris Software 1 of 2 CD 或 Solaris DVD 上的 sun4u 平台目录中。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
将 wanboot 程序复制到安装服务器。
# cp wanboot /document-root-directory/wanboot/wanboot-name |
指定 WAN Boot 服务器的文档根目录。
指定 wanboot 程序的名称。描述性地命名此文件,例如 wanboot.s9_sparc。
通过以下方法之一使 wanboot 程序可用于 WAN Boot 服务器。
在 WAN Boot 服务器的文档根目录中创建至 wanboot 程序的符号链接。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
在 WAN Boot 服务器的文档根目录中指定要链接至 wanboot 程序的目录
指定 wanboot 程序的路径
将 WAN Boot 最小根文件系统移到 WAN Boot 服务器的文档根目录中。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
指定 wanboot 程序的路径
在 WAN Boot 服务器的文档根目录中指定 wanboot 程序的路径。
指定 wanboot 程序的名称。描述性地命名该文件,例如 wanboot.s9_sparc。
在安装期间,WAN Boot 参考 Web 服务器上的 /etc/netboot 分层结构的内容以获得有关如何执行安装的说明。此目录包含配置信息、专用密钥、数字证书以及 WAN Boot 安装所需的认证机构。在安装期间,wanboot-cgi 程序将此信息转入 WAN Boot 文件系统。然后 wanboot-cgi 程序将 WAN Boot 文件系统传送至客户机。
有关如何设计 /etc/netboot 分层结构的规划信息,请参见在 /etc/netboot 分层结构中存储配置和安全信息。
成为 WAN Boot 服务器上的超级用户。
创建 /etc/netboot 目录。
# mkdir /etc/netboot |
# chmod 700 /etc/netboot |
将 /etc/netboot 目录的属主更改为 Web 服务器属主。
# chown web-server-user:web-server-group /etc/netboot/ |
指定 Web 服务器进程的用户属主
指定 Web 服务器进程的组属主
退出超级用户角色。
# exit |
假设 Web 服务器属主的用户角色。
创建 /etc/netboot 目录的客户机子目录。
# mkdir -p /etc/netboot/net-ip/client-ID |
指示 mkdir 命令为要创建的目录创建所有必需的父目录
指定客户机子网的网络 IP 地址。
指定客户机 ID。客户机 ID 可以是用户定义的值,也可以是 DHCP 客户机 ID。client-ID 目录必须是 net-ip 目录的子目录。
对于 /etc/netboot 分层结构中的每个目录,将权限更改为 700。
# chmod 700 /etc/netboot/dir-name |
指定 /etc/netboot 分层结构中目录的名称。
以下实例显示如何为子网 192.168.255.0 上的客户机 010003BA152A42 创建 /etc/netboot 分层结构。在此实例中,用户 nobody 和组 admin 拥有 Web 服务器进程。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
wanboot-cgi 程序可以创建用于将以下文件从 WAN Boot 服务器传送至客户机的数据流。
wanboot 程序
WAN Boot 文件系统
WAN Boot 最小根文件系统
安装 Solaris 9 12/03 操作环境时,wanboot-cgi 程序已安装在系统中。要启用 WAN Boot 服务器以使用此程序,请将此程序复制到 WAN Boot 服务器的 cgi-bin 目录中。
成为 WAN Boot 服务器上的超级用户。
将 wanboot-cgi 程序复制到 WAN Boot 服务器。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
指定 WAN Boot 服务器上 Web 服务器软件的根目录。
在 WAN Boot 服务器上,将 CGI 程序的权限更改为 755。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
要在从 WAN Boot 服务器向客户机传送数据期间保护数据,可以使用基于安全套接字层的 HTTP(即 HTTPS)。要使用安全 WAN Boot 安装配置中说明的更安全的安装配置,必须启用 Web 服务器以使用 HTTPS。
要启用 WAN Boot 服务器上的 Web 服务器软件以使用 HTTPS,必须执行以下任务。
激活 Web 服务器软件中的安全套接字层 (SSL) 支持。
启用 SSL 支持和客户机验证的进程会随 Web 服务器的不同而有所变化。本文档未说明如何在 Web 服务器上启用这些安全功能。有关这些功能的信息,请参见以下文档。
有关在 SunONE 和 iPlanet Web 服务器上激活 SSL 的信息,请参见 http://docs.sun.com 上的 Sun ONE 和 iPlanet 文档集。
有关在 Apache Web 服务器上激活 SSL 的信息,请参见 http://httpd.apache.org/docs-project/ 上的 Apache 文档项目。
如果您使用的 Web 服务器软件未在前面的列表中列出,请参见您的 Web 服务器软件文档。
在 WAN Boot 服务器上安装数字证书。
有关将数字证书用于 WAN Boot 的信息,请参见使用数字证书进行服务器和客户机验证。
为客户机提供信任证书。
有关如何创建信任证书的说明,请参见使用数字证书进行服务器和客户机验证。
创建散列密钥和加密密钥。
有关如何创建密钥的说明,请参见创建散列密钥和加密密钥。
(可选)将 Web 服务器软件配置为支持客户机验证。
有关如何将 Web 服务器配置为支持客户机验证的信息,请参见您的 Web 服务器文档。
WAN Boot 安装方法可以使用 PKCS#12 文件通过 HTTPS 执行安装(在进行了服务器验证或客户机和服务器验证的情况下)。有关使用 PKCS#12 文件的要求和原则,请参见数字证书要求。
要在 WAN Boot 安装中使用 PKCS#12 文件,请执行以下任务。
将 PKCS#12 文件拆分为独立的 SSL 专用密钥文件和信任证书文件。
将信任证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。信任证书将指示客户机信任服务器。
(可选)将 SSL 专用密钥文件的内容插入 /etc/netboot 分层结构中客户机的 keystore 文件中。
wanbootutil 命令提供了执行前面列表中任务的选项。
在拆分 PKCS#12 文件之前,请在 WAN Boot 服务器上创建 /etc/netboot 分层结构的相应子目录。
有关说明 /etc/netboot 分层结构的概述信息,请参见在 /etc/netboot 分层结构中存储配置和安全信息。
有关如何创建 /etc/netboot 分层结构的说明,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构。
假设与 WAN Boot 服务器上 Web 服务器用户相同的用户角色。
从 PKCS#12 文件中提取信任证书。将证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
wanbootutil 命令的选项用于将 PKCS#12 文件拆分为独立的专用密钥文件和证书文件。
指定要拆分的 PKCS#12 文件的名称。
将证书插入客户机的 truststore 文件中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。
(可选的) 确定是否需要客户机验证。
如果需要,请继续执行以下步骤。
如果不需要,请转到创建散列密钥和加密密钥。
将客户机证书插入客户机的 certstore 中。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
wanbootutil 命令的选项用于将 PKCS#12 文件拆分为独立的专用密钥文件和证书文件。
指定要拆分的 PKCS#12 文件的名称。
将客户机证书插入客户机的 certstore 中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。
指定通过拆分 PKCS#12 文件而创建的客户机 SSL 专用密钥文件的名称。
将专用密钥插入客户机的 keystore 中。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
将 SSL 专用密钥插入客户机的 keystore 中
指定在上一步中创建的客户机专用密钥文件的名称
指定客户机的 keystore 的路径
指定密钥类型为 RSA
在以下实例中,将使用 PKCS#12 文件在子网 192.168.255.0 上安装客户机 010003BA152A42。此命令样例将从名为 client.p12 的 PKCS#12 文件中提取证书。然后将信任证书的内容放在客户机的 truststore 文件中。
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
如果要使用 HTTPS 传送数据,则必须创建 HMAC SHA1 散列密钥和加密密钥。如果打算通过部分专用网络进行安装,则可能不需要加密安装数据。可以使用 HMAC SHA1 散列密钥检查 wanboot 程序的完整性。有关散列密钥和加密密钥的概述信息,请参见在 WAN Boot 安装期间保护数据。
通过使用 wanbootutil keygen 命令,可以生成这些密钥并将它们存储在相应的 /etc/netboot 目录中。
假设与 WAN Boot 服务器上 Web 服务器用户相同的用户角色。
创建主 HMAC SHA1 密钥。
# wanbootutil keygen -m |
为 WAN Boot 服务器创建主 HMAC SHA1 密钥
从主密钥中为客户机创建 HMAC SHA1 散列密钥。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
从主密钥中创建客户机的散列密钥。
指示包含 wanbootutil keygen 命令的附加选项。
指定客户机子网的 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
指示 wanbootutil keygen 公用程序为客户机创建 HMAC SHA1 散列密钥。
确定是否需要为客户机创建加密密钥。
您需要创建加密密钥以通过 HTTPS 执行 WAN Boot 安装。在客户机与 WAN Boot 服务器建立 HTTPS 连接之前,WAN Boot 服务器会将加密数据和信息传送至客户机。在安装期间,加密密钥使客户机可以解密此信息并使用此信息。
如果要通过 HTTPS 使用服务器验证执行更安全的 WAN 安装,请继续。
如果只是要检查 wanboot 程序的完整性,则无需创建加密密钥。请转到步骤 6。
为客户机创建加密密钥。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type |
创建客户机的加密密钥。
指示包含 wanbootutil keygen 命令的附加选项。
指定客户机的网络 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
指示 wanbootutil keygen 公用程序为客户机创建加密密钥。key-type 可以具有 3des 或 aes 的值。
在客户机系统中安装这些密钥。
有关如何在客户机上安装密钥的说明,请参见在客户机上安装密钥。
以下实例可以为 WAN Boot 服务器创建主 HMAC SHA1 密钥。此实例还可以为子网 192.168.255.0 上的客户机 01832AA440 创建 HMAC SHA1 散列密钥和 3DES 加密密钥。
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |