本章介紹了為進行 WAN Boot 安裝而準備網路所需的以下工作。
以下表格列出了準備 WAN Boot 安裝所需執行的工作。請複查工作描述,以確定 WAN Boot 安裝配置是否需要這些工作。
如需有關透過 HTTPS 進行安全的 WAN Boot 安裝之描述,請參閱安全 WAN Boot 安裝配置。
如需有關不安全的 WAN Boot 安裝之描述,請參閱不安全 WAN Boot 安裝配置。
若要使用 DHCP 伺服器或記錄伺服器,請完成表格底部列出的可選擇的工作。
表 40–1 工作表:準備執行 WAN Boot 安裝
WAN Boot 伺服器是在進行 WAN Boot 安裝時提供啟動和配置資料的 Web 伺服器。如需 WAN Boot 伺服器的系統需求清單,請參閱表 39–1。
本節介紹的以下工作,用於為 WAN Boot 安裝配置 WAN Boot 伺服器。
若要提供配置檔案和安裝檔案,則必須使 WAN Boot 伺服器上的 Web 伺服器軟體可以存取這些檔案。使這些檔案可存取的一種方法是將其儲存在 WAN Boot 伺服器的根目錄中。
若要將配置檔案和安裝檔案置於根目錄中,則必須建立此目錄。請參閱 Web 伺服器說明文件,以獲取有關如何建立文件根目錄的資訊。如需有關如何設計文件根目錄的詳細資訊,請參閱在文件根目錄下儲存安裝與配置檔案。
WAN Boot 使用已修改的特殊 Solaris miniroot 來執行 WAN Boot 安裝。WAN Boot miniroot 包含 Solaris miniroot 中軟體的子集。若要執行 WAN Boot 安裝,則必須將 Solaris DVD 或 Solaris Software 1 of 2 CD 中的 miniroot 複製到 WAN Boot 伺服器中。對 setup_install_server 指令使用 -w 選項,將 Solaris 軟體媒體上的 WAN Boot miniroot 複製到系統硬碟中。
此程序使用 SPARC 媒體建立 SPARC WAN Boot miniroot。如果要在基於 x86 的伺服器上提供 SPARC WAN Boot miniroot,則必須在 SPARC 機器上建立此 miniroot。建立 miniroot 後,將其複製到基於 x86 的伺服器的根目錄中。
如需有關 setup_install_server 指令的其他資訊,請參閱第 12章, 準備使用 CD 媒體從網路安裝 (工作)。
此程序假設 WAN Boot 伺服器上正在執行容體管理程式。如果伺服器上未執行容體管理程式,請參閱「System Administration Guide: Basic Administration」,以獲取有關在沒有容體管理程式的情形下管理可移除媒體的資訊。
成為 WAN Boot 伺服器上的超級使用者。
系統必須滿足以下需求:
包含 CD-ROM 光碟機或 DVD-ROM 光碟機
是網站的網路服務和名稱服務的一部分。
如果使用名稱服務,則系統必須已處於名稱服務中,如,NIS、NIS+、DNS 或 LDAP。 如果您並未使用名稱服務,則必須遵循網站的策略來分配關於此系統的資訊。
將 Solaris Software 1 of 2 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
為 WAN Boot miniroot 和 Solaris 安裝影像建立目錄。
# mkdir -p wan-dir-path install-dir-path |
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
在安裝伺服器上,指定建立 WAN Boot miniroot 的目錄。此目錄需要容納大小通常為 250 MB 的 miniroot。
在安裝伺服器上,指定要將 Solaris 軟體影像複製至哪個目錄。稍後可在此程序中移除該目錄。
變更至已裝載磁碟上的 Tools 目錄。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
在上例中,cdrom0 是包含 Solaris 作業環境媒體的磁碟機的路徑。
將 WAN Boot miniroot 和 Solaris 軟體影像複製到 WAN Boot 伺服器的硬碟上。
# ./setup_install_server -w wan-dir-path install-dir-path |
指定要將 WAN Boot miniroot 複製至哪個目錄。
指定要將 Solaris 軟體影像複製至哪個目錄。
setup_install_server 指令會指示,您是否有足夠的磁碟空間來儲存 Solaris Software 磁碟影像。若要決定可用的磁碟空間,請使用 df -kl 指令。
setup_install_server -w 指令可建立 WAN Boot miniroot 和 Solaris 軟體的網路安裝影像。
(選擇性的) 移除網路安裝影像。
執行具有 Solaris Flash 歸檔檔案的 WAN 安裝無需 Solaris 軟體影像。如果您沒有計劃使用網路安裝影像進行其他網路安裝,則可釋放影像所佔用的磁碟空間。鍵入以下指令以移除網路安裝影像。
# rm -rf install-dir-path |
使用以下方式之一使 WAN Boot miniroot 能為 WAN Boot 所用。
在 WAN Boot 伺服器的文件根目錄中建立一個至 WAN Boot miniroot 的符號連結。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
在 WAN Boot 伺服器的文件根目錄中,指定要連結至 WAN boot miniroot 的目錄
指定 WAN Boot miniroot 的路徑
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
指定 WAN Boot miniroot 的路徑。
指定 WAN Boot 伺服器文件根目錄中 WAN Boot miniroot 目錄的路徑。
指定 WAN Boot miniroot 的名稱。描述性地命名檔案,例如 miniroot.s9_sparc。
WAN Boot 使用一個特殊的第二等級啟動程式 (wanboot) 來安裝用戶端。wanboot 程式會載入執行 WAN Boot 安裝所必要的 WAN Boot miniroot、用戶端配置檔和安裝檔案。
若要執行 WAN Boot 安裝,則必須在安裝時向用戶端提供 wanboot 程式。您可以用下列方式向用戶端提供此程式。
如果用戶端的 PROM 支援 WAN Boot,則可將此程式從 WAN Boot 伺服器傳送至用戶端。若要檢查用戶端的 PROM 是否支援 WAN Boot,請參閱檢查用戶端 OBP 是否支援 WAN Boot。
如果用戶端的 PROM 不支援 WAN Boot,則必須將此程式置於本機 CD 中提供給用戶端。如果用戶端的 PROM 不支援 WAN Boot,則移至在 WAN Boot 伺服器上建立 /etc/netboot 階層結構以繼續準備安裝。
此程序假設 WAN Boot 伺服器上正在執行容體管理程式。如果伺服器上未執行容體管理程式,請參閱「System Administration Guide: Basic Administration」,以獲取有關在沒有容體管理程式的情形下管理可移除媒體的資訊。
成為安裝伺服器上的超級使用者。
將 Solaris Software 1 of 2 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
變更至 Solaris Software 1 of 2 CD 上或 Solaris DVD 上的 sun4u 平台目錄。
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
將 wanboot 程式複製到安裝伺服器上。
# cp wanboot /document-root-directory/wanboot/wanboot-name |
指定 WAN Boot 伺服器的文件根目錄。
指定 wanboot 程式的名稱。描述性地命名此檔案,例如,wanboot.s9_sparc。
使用以下方式之一使 wanboot 程式能為 WAN Boot 伺服器所用。
在 WAN Boot 伺服器的文件根目錄中建立一個至 wanroot 程式的符號連結。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
在 WAN Boot 伺服器的文件根目錄中,指定要連結至 wanboot 程式的目錄
指定 wanboot 程式的路徑
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
指定 wanboot 程式的路徑
在 WAN Boot 伺服器的文件根目錄中指定 wanboot 程式目錄的路徑。
指定 wanboot 程式的名稱。描述性地命名檔案,例如,wanboot.s9_sparc。
在安裝過程中,WAN Boot 將參考 Web 伺服器的 /etc/netboot 階層結構的內容,以獲取有關如何執行安裝的說明。該目錄包含 WAN Boot 安裝所必要的配置資訊、私密密鑰、數位證書和證書管理中心。在安裝過程中,wanboot-cgi 程式會將此資訊轉換入 WAN Boot 檔案系統中。然後,wanboot-cgi 程式會將 WAN Boot 檔案系統傳送給用戶端。
如需有關如何設計 /etc/netboot 階層結構的規劃資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
成為 WAN Boot 伺服器上的超級使用者。
建立 /etc/netboot 目錄。
# mkdir /etc/netboot |
# chmod 700 /etc/netboot |
將 /etc/netboot 目錄的所有者變更為 Web 伺服器所有者。
# chown web-server-user:web-server-group /etc/netboot/ |
指定 Web 伺服器程序的使用者所有者
指定 Web 伺服器程序的群組所有者
退出超級使用者身份。
# exit |
取得 Web 伺服器所有者的使用者身份。
建立 /etc/netboot 目錄的用戶端子目錄。
# mkdir -p /etc/netboot/net-ip/client-ID |
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
指定用戶端子網路的網路 IP 位址。
指定用戶端 ID。用戶端 ID 可以是使用者定義的值或 DHCP 用戶端 ID。client-ID 必須為 net-ip 目錄的子目錄。
對於 /etc/netboot 階層結構中的每個目錄,將其許可權變更為 700。
# chmod 700 /etc/netboot/dir-name |
指定 /etc/netboot 階層結構中目錄的名稱。
以下範例顯示了如何為位於子網路 192.168.255.0 上的用戶端 010003BA152A42 建立 /etc/netboot 階層結構。在此範例中,使用者 nobody 和群組 admin 擁有 Web 伺服器程序。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
wanboot-cgi 程式會產生資料串流,該串流會將以下檔案從 WAN Boot 伺服器傳送至用戶端。
wanboot 程式
WAN Boot 檔案系統
WAN Boot miniroot
當您安裝 Solaris 9 12/03 作業環境時,wanboot-cgi 程式將會安裝在系統上。若要使 WAN Boot 伺服器能夠使用此程式,請將此程式複製到 WAN Boot 伺服器的 cgi-bin 目錄中。
成為 WAN Boot 伺服器上的超級使用者。
將 wanboot-cgi 程式複製到 WAN Boot 伺服器上。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
在 WAN Boot 伺服器上,指定 Web 伺服器軟體的根目錄。
在 WAN Boot 伺服器上,將 CGI 程式的許可權變更為 755。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
若要在將資料從 WAN Boot 伺服器向用戶端傳送時保護您的資料,您可以使用安全套接層上的 HTTP (HTTPS)。若要使用安全 WAN Boot 安裝配置中介紹的更安全的安裝配置,您必須使 Web 伺服器能使用 HTTPS。
若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS,您必需執行以下工作。
在 Web 伺服器軟體中啟動安全套接層 (SSL) 支援。
啟動 SSL 支援和用戶端認證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需有關這些功能的資訊,請參閱以下說明文件。
如需有關在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊,請參閱 http://docs.sun.com 上的 Sun ONE 和 iPlanet 說明文件集合。
如需有關在 Apache Web 伺服器上啟動 SSL 的資訊,請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。
如果您正在使用的 Web 伺服器軟體未在上述清單中列出,請參閱您的 Web 伺服器軟體說明文件。
在 WAN Boot 伺服器上安裝數位證書。
如需有關在 WAN Boot 中使用數位證書的資訊,請參閱在伺服器和用戶端認證時使用數位證書。
向用戶端提供可信賴的證書。
如需有關如何建立可信賴證書的說明,請參閱在伺服器和用戶端認證時使用數位證書。
建立雜湊密鑰和加密密鑰。
如需有關如何建立密鑰的說明,請參閱建立雜湊密鑰和加密密鑰。
(可選擇的) 將 Web 伺服器軟體配置為支援用戶端認證。
如需有關如何將 Web 伺服器配置為支援用戶端認證的資訊,請參閱 Web 伺服器說明文件。
WAN Boot 安裝方法可使用 PKCS#12 檔案,來透過需要伺服器認證或用戶端和伺服器認證的 HTTPS 執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位證書需求。
若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下工作。
將 PKCS#12 檔案分割為單獨的 SSL 私密密鑰和可信賴的證書檔案。
將可信賴的軟體插入 /etc/netboot 階層結構中的用戶端的 truststore 檔案中。可信賴的證書會指示用戶端信賴伺服器。
(可選擇的) 在 /etc/netboot 階層機構中的用戶端的 keystore 檔案裡插入 SSL 私密密鑰檔案之內容。
wanbootutil 指令提供了用以執行上述清單中工作的選項。
在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。
如需介紹 /etc/netboot 階層結構的摘要資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
如需有關如何建立 /etc/netboot 階層結構的說明,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。
從 PKCS#12 檔案中擷取可信賴的證書。在 /etc/netboot 階層結構中的用戶端的 truststore 檔案內插入證書。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 truststore 檔案中插入證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。
(選擇性的) 決定是否要求進行用戶端認證。
如果是的話,請繼續執行以下步驟。
如果不要求,請移至建立雜湊密鑰和加密密鑰。
在用戶端的 certstore 中插入用戶端證書。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 certstore 中插入用戶端的證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。
指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密密鑰檔案之名稱。
在用戶端的 keystore 中插入私密密鑰。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
在用戶端的 keystore 中插入 SSL 私密密鑰。
指定在上一步驟中建立的用戶端私密密鑰檔案之名稱
指定用戶端的 keystore 的路徑。
指定密鑰的類型為 RSA
在以下範例中,您使用一個 PKCS#12 檔案將用戶端 010003BA152A42 安裝在子網路 192.168.255.0 上。該指令範例從一個名為 client.p12 的 PKCS#12 檔案中擷取了證書。然後該指令會將可信賴的證書的內容置於用戶端的 truststore 檔案中。
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
如果要使用 HTTPS 來傳送資料,則必須建立一個 HMAC SHA1 雜湊密鑰和一個加密密鑰。如果您計劃透過一個半私有網路進行安裝,您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊密鑰來檢查 wanboot 程式的完整性。如需有關雜湊密鑰和加密密鑰的摘要資訊,請參閱在 WAN Boot 安裝期間保護資料。
透過使用 wanbootutil keygen 指令,可以產生這些密鑰並將其儲存在相應的 /etc/netboot 目錄中。
假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。
建立主 HMAC SHA1 密鑰。
# wanbootutil keygen -m |
為 WAN Boot 伺服器建立主 HMAC SHA1 密鑰
由主密鑰建立用戶端的 HMAC SHA1 雜湊密鑰。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
由主密鑰建立用戶端的雜湊密鑰。
指出 wanbootutil keygen 指令中包含了其他的選項。
指定用戶端的子網路的 IP 位址。如果您不使用 net 選項,則密鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。
指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊密鑰。
決定是否需要為用戶端建立加密密鑰。
您需要建立加密密鑰,以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前,WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密密鑰可使用戶端解密此資訊,並在安裝中使用此資訊。
如果您正在執行的是一個透過 HTTPS、且進行伺服器認證的更加安全的 WAN 安裝,請繼續。
如果您只想檢查 wanboot 程式的完整性,則無需建立加密密鑰。移至步驟 6。
為用戶端建立一個加密密鑰。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type |
建立用戶端的加密密鑰。
指出 wanbootutil keygen 指令中包含了其他的選項。
指定用戶端的網路 IP 位址。如果您不使用 net 選項,則密鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。
指示 wanbootutil keygen 公用程式為用戶端建立一個加密密鑰。可賦予 key-type 一個 3des 值或 aes 值。
在用戶端系統上安裝密鑰。
如需有關如何在用戶端上安裝密鑰的說明,請參閱在用戶端上安裝密鑰。
以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 密鑰。此範例還為子網路 192.168.255.0 上的用戶端 01832AA440 建立了 HMAC SHA1 雜湊密鑰和 3DES 加密密鑰。
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |
WAN Boot 會執行一個自訂 JumpStart 安裝,以在用戶端上安裝 Solaris Flash 歸檔檔案。自訂 JumpStart 安裝方法是一個指令行介面,此介面可使您根據建立的設定檔自動安裝數個系統。這些設定檔可定義特定的軟體安裝需求。您也可以加入 shell 程序檔,以包含安裝前和安裝後的工作。您可以選擇要使用何種設定檔和程序檔來進行安裝或升級。自訂 JumpStart 安裝方法會根據您選取的設定檔和程序檔,來安裝或升級系統。而且,您也可以使用 sysidcfg 檔案來指定配置資訊,這樣自訂 JumpStart 安裝可完全避免手動干預。
若要為 WAN Boot 安裝準備自訂 JumpStart 檔案,請完成以下工作。
如需有關自訂 JumpStart 安裝方法的詳細資訊,請參閱第 22章, 自訂 JumpStart(概述)。
Solaris Flash 安裝功能可讓您在被稱為主系統的系統上使用 Solaris 作業環境的單一參考安裝,然後即可建立 Solaris Flash 歸檔檔案,此檔案為主系統的複製影像。您可以在網路的其他系統上安裝 Solaris Flash 歸檔檔案,建立複製系統。
本節介紹了如何建立可在 WAN Boot 安裝中使用的 Solaris Flash 歸檔檔案。在建立 Solaris Flash 歸檔檔案前,必須首先安裝主系統。
如需有關安裝主系統的資訊,請參閱安裝主系統。
如需有關 Solaris Flash 歸檔檔案的詳細資訊,請參閱第 18章, 建立 Solaris Flash 歸檔檔案 (工作)。
如需有關如何建立 Solaris Flash 歸檔檔案的詳細說明,請參閱建立 Solaris Flash 歸檔檔案。
啟動主系統。
請盡可能在非使用中狀態下執行主系統。如果可能,請以單一使用者模式來執行該系統;否則,請關閉您要歸檔的所有應用程式和需要耗費大量作業系統資源的所有應用程式。
若要建立歸檔檔案,請使用 flar create 指令。
# flar create -n name [optional-parameters] document-root/flash/filename |
您賦予該歸檔檔案的名稱。您所指定的 name 就是 content_name 關鍵字的值。
您可以在 flar create 指令中使用多個選項以自訂 Solaris Flash 歸檔檔案。如需這些選項的詳細描述,請參閱第 20章, Solaris Flash (參考)。
到安裝伺服器之文件根目錄的 Solaris Flash 子目錄的路徑。
歸檔檔案的名稱。
為節省磁碟空間,您可能要在 flar create 指令中使用 -c 選項以壓縮歸檔檔案。但是,一個經過壓縮的歸檔檔案可能影響 WAN Boot 安裝的效能。如需有關建立壓縮的歸檔檔案的更多資訊,請參閱線上援助頁 flar create(1M)。
如果歸檔檔案建立成功,flar create 指令會傳回退出碼 0。
如果歸檔檔案建立失敗,flar create 指令會傳回一個非零的退出碼。
如需建立 Solaris Flash 歸檔檔案的範例,請參閱範例 — 建立歸檔檔案以進行初始安裝。
您可以在 sysidcfg 檔案中指定一組關鍵字以預先配置系統。如需有關 sysidcfg 關鍵字和值的更多詳細資訊,請參閱以 sysidcfg 檔案進行預先配置。
在安裝伺服器的文字編輯程式中建立一個名為 sysidcfg 的檔案。
輸入所需的 sysidcfg 關鍵字。
如需有關 sysidcfg 關鍵字的詳細資訊,請參閱sysidcfg 檔案關鍵字。
將 sysidcfg 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,則將該檔案儲存到安裝伺服器之文件根目錄的 flash 子目錄中。
以下是一個用於基於 SPARC 之系統的 sysidcfg 檔案之範例。透過編輯名稱服務,已對此系統的主機名稱、IP 位址和網路遮罩做了預先配置。
network_interface=primary {hostname=seahag default_route=192.168.88.1 ip_address=192.168.88.210 netmask=255.255.0.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
設定檔是指示自訂 JumpStart 程式如何在系統上安裝 Solaris 軟體的文字檔案。設定檔定義安裝的元素,例如,要安裝的軟體群組。
如需有關如何建立設定檔的詳細資訊,請參閱建立設定檔。
在安裝伺服器上建立文字檔案。描述性地命名檔案。
請確定設定檔的名稱能夠反映出您要如何使用設定檔將 Solaris 軟體安裝在系統上。例如,您可以將設定檔命名為 basic_install、eng_profile 或 user_profile。
將設定檔關鍵字和值加入到設定檔中。
如需設定檔關鍵字和值的清單,請參閱設定檔關鍵字和值。
設定檔關鍵字及其值是區分大小寫的。
將設定檔儲存在 WAN Boot 伺服器能夠存取到的位置。
將設定檔儲存在以下位置之一。
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,則將該檔案儲存到安裝伺服器之文件根目錄的 flash 子目錄中。
確保 root 中含有設定檔,且許可權已設為 644。
(可選擇的) 測試設定檔。
測試設定檔中包含測試設定檔的相關資訊。
在以下範例中,設定檔指出自訂 JumpStart 程式從一個安全的 HTTP 伺服器上擷取 Solaris Flash 歸檔檔案。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.255.255/solarisupdate.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
以下清單描述該範例中的某些關鍵字和值。
該設定檔在複製系統上安裝 Solaris Flash 歸檔檔案。與初始安裝中一樣,所有檔案都會被覆寫。
從一個安全的 HTTP 伺服器上擷取壓縮的 Solaris Flash 歸檔檔案。
檔案系統磁碟片段由關鍵字 filesys、值 explicit 決定。root (/) 的大小依照 Solaris Flash 歸檔檔案的大小而定。swap 的大小要設定為所需的大小,並安裝在 c0t1d0s1 上。/export/home 則視剩餘的磁碟空間而定。/export/home 安裝在 c0t1d0s7 上。
rules 檔案是一個包含了每個系統群組 (要在這些系統上安裝 Solaris 作業環境) 之規則的文字檔。每套規則均能夠根據一個或多個系統屬性來區分系統群組,亦會將每個群組連結至設定檔。設定檔是一個文字檔,用於定義如何將 Solaris 軟體安裝在群組中的每個系統上。例如,以下規則指定 JumpStart 程式使用 basic_prof 設定檔中的資訊來安裝 sun4u 平台群組的所有系統。
karch sun4u - basic_prof - |
rules 檔案用於建立 rules.ok 檔案,後者是自訂 JumpStart 安裝所必需的。
如需有關如何建立 rules 檔案的詳細資訊,請參閱建立 rules 檔案。
在安裝伺服器上,建立一個名為 rules 的文字檔。
在 rules 檔案中為每組要安裝的系統加入一個規則。
如需有關如何建立 rules 檔案的詳細資訊,請參閱建立 rules 檔案。
在安裝伺服器上儲存 rules 檔案。
$ ./check [[-p path -r file-name]] |
透過使用 Solaris 9 軟體影像中的 check 程序檔 (而非來自正在使用的系統的 check 程序檔) 來驗證 rules。path 是本機磁碟上、或已裝載的 Solaris DVD 或 Solaris Software 1 of 2 CD 上的影像。
如果系統執行舊版的 Solaris,請使用此選項來執行最新版本的 check。
指定一個規則檔案,而不是指定名為 rules 的檔案。透過使用此選項,您可在將規則整合至 rules 檔案之前測試規則的有效性。
當執行 check 程序檔時,程序檔會報告 rules 檔案和每個設定檔的有效性檢查。如果沒有發生任何錯誤,程序檔會報告:自訂 JumpStart 配置完成。check 程序檔會建立 rules.ok 檔案。
將 rules.ok 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,則將該檔案儲存到安裝伺服器之文件根目錄的 flash 子目錄中。
確定 root 中含有 rules.ok 檔案,且許可權已設為 644。
如需 rules 檔案的範例,請參閱rules 檔案範例。
開始程序檔和結束程序檔是您在 rules 檔案中指定的使用者定義的 Bourne shell 程序檔。開始程序檔會在系統安裝 Solaris 軟體之前執行工作。結束程序檔在系統安裝 Solaris 軟體之後、系統重新啟動之前執行。僅當您使用自訂 JumpStart 來安裝 Solaris 時,才可使用這些程序檔。
您可以使用開始程序檔建立衍生的設定檔。結束程序檔可使您執行各種安裝後工作,例如增加檔案、套裝軟體、修補程式或其他軟體。
您必須將開始程序檔和結束程序檔與 sysidcfg、rules.ok 和設定檔儲存在安裝伺服器的同一目錄中。
WAN Boot 使用以下檔案來指定 WAN Boot 安裝所需的資料和檔案的位置。
系統配置檔 (system.conf)
wanboot.conf 檔案
本節介紹如何建立和儲存這兩個檔案。
在系統程序檔中,您可以將 WAN Boot 安裝程式指向以下檔案。
sysidcfg 檔案
rules.ok 檔案
自訂 JumpStart 設定檔
WAN Boot 依照系統配置檔中的指標來安裝和配置用戶端。
系統配置檔是一個一般文字檔案,且必須以下列型樣格式化。
setting=value
若要使用系統配置檔將 WAN 安裝程式指向 sysidcfg、rules.ok 和設定檔,請依照下列步驟執行。
假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。
將下列項目加入系統配置檔。
此設定指向包含 sysidcfg 檔案之安裝伺服器的 flash 目錄。請確保此 URL 與到 sysidcfg 檔案 (您在建立 sysidcfg 檔案中建立) 的路徑一致。
對於使用 HTTPS 的 WAN 安裝,請將該值設定為一個有效的 HTTPS URL。
此設定指向包含 rules.ok 檔案、設定檔、以及開始程序檔和結束程序檔的安裝伺服器上的 Solaris Flash 目錄。請確保此 URL 與到自訂 JumpStart 檔案 (您在建立設定檔和建立 rules 檔案中建立) 的路徑一致。
對於使用 HTTPS 的 WAN 安裝,請將該值設定為一個有效的 HTTPS URL。
將檔案儲存到 WAN Boot 伺服器能夠存取的目錄中。
為便於管理,您可能要將檔案儲存到 WAN Boot 伺服器的 /etc/netboot 目錄中相應的用戶端目錄中。
將系統配置檔中的許可權變更為 600。
# chmod 600 /path/system-conf-file |
指定到包含系統配置檔之目錄的路徑。
指定系統配置檔的名稱。
在以下範例中,WAN Boot 程式會檢查 Web 伺服器 https://www.example.com (通訊埠為 1234) 上的 sysidcfg 和自訂的 JumpStart 檔案。在安裝過程中,Web 伺服器使用安全的 HTTP 對資料和檔案進行加密。
sysidcfg 和自訂的 JumpStart 檔案位於文件根目錄 htdocs 的子目錄 flash 中。
SsysidCF=https://www.example.com:1234/htdocs/flash SjumpsCF=https://www.example.com:1234/htdocs/flash
在以下範例中,WAN Boot 程式會檢查 Web 伺服器 http://www.example.com 上的 sysidcfg 和自訂的 JumpStart 檔案。Web 伺服器使用 HTTP,因此在安裝過程中不對資料和檔案進行保護。
sysidcfg 和自訂的 JumpStart 檔案位於文件根目錄 htdocs 的子目錄 flash 中。
SsysidCF=http://www.example.com/htdocs/flash SjumpsCF=http://www.example.com/htdocs/flash
wanboot.conf 檔案是 WAN Boot 程式用於執行 WAN 安裝的一般文字配置檔。wanboot-cgi 程式、啟動檔案系統和 WAN Boot miniroot 均使用 wanboot.conf 檔案中包含的資訊來安裝用戶端機器。
將 wanboot.conf 檔案儲存至 WAN Boot 伺服器的 /etc/netboot 階層結構中相應的用戶端子目錄中。如需有關如何使用 /etc/netboot 階層結構定義 WAN Boot 安裝範圍的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
如果 WAN Boot 伺服器正在執行 Solaris 9 12/03 作業環境,則 /etc/inet/wanboot.conf.sample 中將會有一個範例 wanboot.conf 檔案。您可以將此範例作為 WAN Boot 安裝的範本。
表 40–2 用於 wanboot.conf 檔案的資訊
您可以透過列出下列格式的具有關聯值的參數,以指定此資訊。
parameter=value
如需有關 wanboot.conf 檔案參數和語法的詳細資訊,請參閱wanboot.conf 檔案參數和語法。
假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。
建立 wanboot.conf 文字檔案。
您可以建立名為 wanboot.conf 的新文字檔案,或使用位於 /etc/inet/wanboot.conf.sample 中的範例檔案。如果您使用範例檔案,請在加入參數後重新命名檔案 wanboot.conf。
鍵入安裝所需的 wanboot.conf 參數。
如需 wanboot.conf 參數和值的詳細描述,請參閱wanboot.conf 檔案參數和語法。
將 wanboot.conf 檔案儲存至 /etc/netboot 階層結構的相應子目錄中。
如需有關如何建立 /etc/netboot 階層結構的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
指定 WAN Boot 伺服器上用戶端的 wanboot.conf 檔案的路徑。
如果 wanboot.conf 檔案在結構上有效,則 bootconfchk 指令將返回一個退出碼 0。
如果 wanboot.conf 檔案是無效的,則 bootconfchk 指令將返回一個非零退出碼。
將 wanboot.conf 檔案的許可權變更為 600。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
以下 wanboot.conf 檔案範例包含了用於 WAN 安裝 (使用安全的 HTTP) 的配置資訊。wanboot.conf 檔案還指出,在此安裝中使用了 3DES 加密密鑰。
boot_file=/wanboot/wanboot.s9_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=system.conf
此 wanboot.conf 檔案指定了以下配置。
輔助層級啟動程式被命名為 wanboot.s9_sparc。此程式位於 WAN Boot 伺服器的文件根目錄的 /wanboot 目錄中。
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 https://www.example.com:1234/cgi-bin/wanboot-cgi。URL 的 https 部分指出該 WAN Boot 安裝使用的是安全的 HTTP。
WAN Boot miniroot 被命名為 miniroot.s9_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 目錄中。
使用 HMAC SHA1 雜湊密鑰對 wanboot.s9_sparc 程式和 WAN Boot 檔案系統進行簽名。
使用 3DES 密鑰對 wanboot.s9_sparc 程式和 Boot 檔案系統進行加密。
在安裝過程中對伺服器進行驗證。
在安裝過程中不對用戶端進行驗證。
執行 WAN 安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
透過使用安全的 HTTP 將啟動和安裝日誌訊息記錄在 WAN Boot 伺服器上。
包含 sysidcfg 和 JumpStart 檔案位置的系統配置檔位於 /etc/netboot 階層結構的一個子目錄中。系統配置檔被命名為 system.conf。
以下 wanboot.conf 檔案範例包含了用於安全性較差的 WAN 安裝 (使用 HTTP) 的配置資訊。該 wanboot.conf 檔案還指出,此安裝不使用加密密鑰或雜湊密鑰。
boot_file=/wanboot/wanboot.s9_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=system.conf
該 wanboot.conf 檔案指定了以下配置。
輔助層級啟動程式被命名為 wanboot.s9_sparc。此程式位於 WAN Boot 伺服器文件根目錄的 /wanboot 目錄中。
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 http://www.example.com/cgi-bin/wanboot-cgi。此安裝不使用安全的 HTTP。
WAN Boot miniroot 被命名為 miniroot.s9_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 子目錄中。
未使用雜湊密鑰對 wanboot.s9_sparc 程式和 WAN Boot 檔案系統進行簽名。
未對 wanboot.s9_sparc 程式和 Boot 檔案系統進行加密。
在安裝過程中未使用密鑰或證書對伺服器進行驗證。
在安裝過程中未使用密鑰或證書對用戶端進行驗證。
執行此安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
啟動和安裝日誌訊息記錄在 WAN Boot 伺服器上。
包含 sysidcfg 和 JumpStart 檔案位置的系統配置檔被命名為 system.conf。此檔案位於 /etc/netboot 階層結構的相應用戶端子目錄中。
如果您在網路中使用 DHCP 伺服器,則可以配置該 DHCP 伺服器來提供以下資訊。
代理伺服器的 IP 位址
wanboot-cgi 程式的位置
您可以在 WAN Boot 伺服器中使用以下 DHCP 供應商選項。
如需有關設定 Solaris DHCP 伺服器的這些供應商選項之資訊,請參閱使用 DHCP 服務預先配置系統配置資訊 (工作)。
如需有關設定 Solaris DHCP 伺服器的詳細資訊,請參閱「System Administration Guide: IP Services」中的「Configuring DHCP Service (Task)」。
如果您要在一個非用戶端的系統上記錄啟動和安裝日誌訊息,則必須安裝一台記錄伺服器。如果要在安裝時使用帶有 HTTPS 的記錄伺服器,則必須將 WAN Boot 伺服器配置為記錄伺服器。
若要配置記錄伺服器,請依照下列步驟執行。
將 bootlog-cgi 程序檔複製到記錄伺服器的 CGI 程序檔目錄中。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
在記錄伺服器的 Web 伺服器目錄中指定 cgi-bin 目錄
將 bootlog-cgi 程序檔的許可權變更為 755。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
在 wanboot.conf 檔案中設定 boot_logger 參數的值。
在 wanboot.conf 檔案中,指定記錄伺服器上 bootlog-cgi 程序檔的 URL。
如需有關在 wanboot.conf 檔案中設定參數的更多資訊,請參閱建立 wanboot.conf 檔案。
在安裝過程中,啟動和安裝訊息記錄在記錄伺服器的 /tmp 目錄中。該日誌檔被命名為 bootlog.hostname,其中 hostname 為用戶端的主機名稱。
以下範例將 WAN Boot 伺服器配置為一個記錄伺服器。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |