WAN 부트 서버 구성

WAN 부트 서버는 WAN 부트 설치 중 부트 및 구성 데이터를 제공하는 웹 서버입니다. WAN 부트 서버에 대한 시스템 요구 사항 목록은 표 42–1을 참조하십시오.

이 절에서는 WAN 부트 설치를 위해 WAN 부트 서버를 구성하는 데 필요한 다음 작업에 대해 설명합니다.

• 문서 루트 디렉토리 만들기

• WAN 부트 미니루트 만들기

• WAN 부트 서버에 wanboot 프로그램 설치

• WAN 부트 서버에 /etc/netboot 계층 만들기

• WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사

• (옵션) HTTPS를 사용하여 데이터 보호

문서 루트 디렉토리 만들기

구성 및 설치 파일을 제공하려면 WAN 부트 서버의 웹 서버 소프트웨어에서 이러한 파일에 액세스할 수 있어야 합니다. 이러한 파일에 액세스할 수 있게 하는 한 가지 방법은 WAN 부트 서버의 문서 루트 디렉토리에 이러한 파일을 저장하는 것입니다.

문서 루트 디렉토리를 사용하여 구성 및 설치 파일을 제공하려면 이 디렉토리를 만들어야 합니다. 문서 루트 디렉토리를 만드는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오. 문서 루트 디렉토리 설계 방법에 대한 자세한 내용은 문서 루트 디렉토리에 설치 및 구성 파일 저장를 참조하십시오.

WAN 부트 미니루트 만들기

WAN 부트는 수정된 특수 Solaris 미니루트를 사용하여 WAN 부트를 설치합니다. WAN 부트 미니루트에는 Solaris 미니루트에 있는 소프트웨어의 일부가 들어 있습니다. WAN 부트 설치를 수행하려면 Solaris DVD나 Solaris Software 1 of 2 CD에서 WAN 부트 서버로 미니루트를 복사해야 합니다. setup_install_server 명령에 - w 옵션을 사용하여 WAN 부트 미니루트를 Solaris 소프트웨어에서 사용자 시스템 하드 디스크로 복사합니다.

이 절차를 통해 SPARC 매체를 사용하여 SPARC WAN 부트 미니루트를 만듭니다. x86-기반 서버에서 SPARC WAN 부트 미니루트를 제공하려면 SPARC 시스템에 미니루트를 만들어야 합니다. 미니루트를 만든 다음 해당 미니루트를 x86-기반 서버의 문서 루트 디렉토리로 복사합니다.

setup_install_server 명령에 대한 자세한 내용은 제 15 장을 참조하십시오.

SPARC: WAN 부트 미니루트 만들기

이 절차에서는 WAN 부트 서버에 볼륨 관리자가 실행 중인 것으로 가정합니다. 볼륨 관리자를 사용하고 있지 않은 경우 볼륨 관리자 없이 이동식 매체를 관리하는 방법은 System Administration Guide: Basic Administration를 참조하십시오.

1. WAN 부트 서버에서 수퍼유저가 되도록 합니다.

   시스템은 다음 요구 사항을 충족해야 합니다.

   • CD-ROM이나 DVD-ROM 드라이브가 있어야 합니다.

   • 사이트의 네트워크 및 이름 서비스의 일부여야 합니다.

     이름 서비스를 사용한다면 시스템이 이미 NIS, NIS+, DNS 또는 LDAP와 같은 이름 서비스를 수행하고 있어야 합니다. 이름 서비스를 사용하지 않는다면 사용자 사이트의 정책에 따라 이 시스템에 관한 정보를 배포해야 합니다.

2. Solaris Software 1 of 2 CD나 Solaris DVD를 설치 서버의 드라이브에 삽입합니다.

3. WAN 부트 미니루트와 Solaris 설치 이미지의 디렉토리를 만듭니다.

   # mkdir -p wan-dir-path install-dir-path

   -p

   mkdir 명령을 사용하여 사용자가 만들 디렉토리에 필요한 모든 부모 디렉토리를 만듭니다.

   wan-dir-path

   설치 서버에 WAN 부트 미니루트를 만들 디렉토리를 지정합니다. 이 디렉토리는 일반적으로 250MB 크기를 가진 미니루트를 수용해야 합니다.

   install-dir-path

   Solaris 소프트웨어 이미지를 복사할 설치 서버의 디렉토리를 지정합니다. 이 디렉토리는 해당 절차의 뒷 부분에서 제거할 수 있습니다.

4. 마운트된 디스크의 Tools 디렉토리로 변경합니다.

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools

   위의 예에서 cdrom0은 Solaris 운영 환경 매체가 들어 있는 드라이브 경로입니다.

5. WAN 부트 미니루트와 Solaris 소프트웨어 이미지를 WAN 부트 서버의 하드 디스크로 복사합니다.

   # ./setup_install_server -w wan-dir-path install-dir-path

   wan-dir-path

   WAN 부트 미니루트를 복사할 디렉토리를 지정합니다.

   install-dir-path

   Solaris 소프트웨어 이미지를 복사할 디렉토리를 지정합니다.

   ---

   주 –

   setup_install_server 명령은 Solaris 9 소프트웨어 디스크 이미지로 사용할 수 있는 충분한 디스크 공간을 갖고 있는지 여부를 나타냅니다. 사용 가능한 디스크 공간을 파악하려면 df -kl 명령을 사용합니다.

   ---

   setup_install_server -w 명령을 사용하여 WAN 부트 미니루트와 Solaris 소프트웨어의 네트워크 설치 이미지를 만듭니다.

6. (옵션) 네트워크 설치 이미지를 제거합니다.

   Solaris Flash 아카이브를 사용하여 WAN을 설치하는 경우 Solaris 소프트웨어 이미지가 필요하지 않습니다. 다른 네트워크 설치에 네트워크 설치 이미지를 사용할 계획이 아닌 경우에는 디스크 여유 공간을 확보할 수 있습니다. 다음 명령을 입력하여 네트워크 설치 이미지를 제거합니다.

   # rm -rf install-dir-path

7. 다음 중 한 가지 방법을 사용하여 WAN 부트 서버에서 WAN 부트 미니루트를 사용할 수 있도록 합니다.

   • WAN 부트 서버의 문서 루트 디렉토리에 WAN 부트 미니루트에 대한 심볼릭 링크를 만듭니다.

     # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .

     document-root-directory/miniroot

     WAN 부트 미니루트에 연결할 WAN 부트 서버 문서 루트 디렉토리의 디렉토리를 지정합니다.

     /wan-dir-path/miniroot

     WAN 부트 미니루트에 대한 경로를 지정합니다.

   • WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리로 이동합니다.

     # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name

     wan-dir-path/miniroot

     WAN 부트 미니루트에 대한 경로를 지정합니다.

     /document-root-directory/miniroot/

     WAN 부트 서버 문서 루트 디렉토리의 WAN 부트 미니루트 디렉토리에 대한 경로를 지정합니다.

     miniroot-name

     WAN 부트 미니루트의 이름을 지정합니다. miniroot.s9_sparc와 같이 파일의 이름을 자세하게 지정합니다.

WAN 부트 서버에 wanboot 프로그램 설치

WAN 부트는 특수한 두 번째 수준 부트 프로그램(wanboot)을 사용하여 클라이언트를 설치합니다. wanboot 프로그램은 WAN 부트 설치에 필요한 WAN 부트 미니루트, 클라이언트 구성 파일 및 설치 파일을 로드합니다.

WAN 부트를 설치하려면 설치 도중 클라이언트에게 wanboot 프로그램을 제공해야 합니다. 다음 방법으로 클라이언트에게 이 프로그램을 제공할 수 있습니다.

• 클라이언트의 PROM에서 WAN 부트를 지원하는 경우 WAN 부트 서버로부터 클라이언트로 해당 프로그램을 전송할 수 있습니다. 클라이언트의 PROM에서 WAN 부트를 지원하는지 확인하려면 WAN 부트 지원을 위한 클라이언트 OBP 확인를 참조하십시오.

• 클라이언트의 PROM에서 WAN 부트를 지원하지 않는 경우 로컬 CD를 통해 클라이언트에게 해당 프로그램을 제공해야 합니다. 클라이언트의 PROM에서 WAN 부트를 지원하지 않는 경우 WAN 부트 서버에 /etc/netboot 계층 만들기로 이동하여 설치 준비를 계속합니다.

SPARC: WAN 부트 서버에 wanboot 프로그램 설치

이 절차에서는 WAN 부트 서버에 볼륨 관리자가 실행 중인 것으로 가정합니다. 볼륨 관리자를 사용하고 있지 않은 경우 볼륨 관리자 없이 이동식 매체를 관리하는 방법은 System Administration Guide: Basic Administration를 참조하십시오.

1. 설치 서버에서 수퍼유저가 되도록 합니다.

2. Solaris Software 1 of 2 CD나 Solaris DVD를 설치 서버의 드라이브에 삽입합니다.

3. Solaris Software 1 of 2 CD나 Solaris DVD에서 다음 sun4u 플랫폼 디렉토리로 변경합니다.

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/

4. wanboot 프로그램을 설치 서버로 복사합니다.

   # cp wanboot /document-root-directory/wanboot/wanboot-name

   document-root-directory

   WAN 부트 서버의 문서 루트 디렉토리를 지정합니다.

   wanboot-name

   wanboot 프로그램의 이름을 지정합니다. wanboot.s9_sparc와 같이 파일의 이름을 자세하게 지정합니다.

5. 다음 중 한 가지 방법을 사용하여 WAN 부트 서버에서 wanboot 프로그램을 사용할 수 있도록 합니다.

   • WAN 부트 서버의 문서 루트 디렉토리에 있는 wanboot 프로그램에 대한 심볼릭 링크를 만듭니다.

     # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .

     document-root-directory/wanboot

     wanboot 프로그램에 연결할 WAN 부트 서버 문서 루트 디렉토리의 디렉토리를 지정합니다.

     /wan-dir-path/wanboot

     wanboot 프로그램에 대한 경로를 지정합니다.

   • WAN 부트 미니루트를 WAN 부트 서버의 문서 루트 디렉토리로 이동합니다.

     # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name

     wan-dir-path/wanboot

     wanboot 프로그램에 대한 경로를 지정합니다.

     /document-root-directory/wanboot/

     WAN 부트 서버의 문서 루트 디렉토리에 있는 wanboot 프로그램 디렉토리에 대한 경로를 지정합니다.

     wanboot-name

     wanboot 프로그램의 이름을 지정합니다. wanboot.s9_sparc와 같이 파일의 이름을 자세하게 지정합니다.

WAN 부트 서버에 /etc/netboot 계층 만들기

설치 도중 WAN 부트에서는 설치를 수행하는 방법의 지침에 대해 웹 서버의 /etc/netboot 계층 내용을 참조합니다. 이 디렉토리에는 WAN 부트 설치에 필요한 구성 정보, 개인 키, 디지털 인증서 및 인증 기관이 들어 있습니다. 설치하는 동안 wanboot-cgi 프로그램에서는 이 정보를 WAN 부트 파일 시스템으로 변환합니다. 그런 다음 wanboot-cgi 프로그램은 WAN 부트 파일 시스템을 해당 클라이언트로 전송합니다.

/etc/netboot 디렉토리에 하위 디렉토리를 만들어 WAN 설치 범위를 사용자 정의할 수 있습니다. 다음 디렉토리 구조를 사용하여 설치하려는 클라이언트 간 구성 정보 공유 방법을 정의합니다.

• 전역 구성 – 네트워크 상의 모든 클라이언트가 구성 정보를 공유하게 하려면 공유할 파일을 /etc/netboot 디렉토리에 저장합니다.

• 네트워크별 구성 – 특정 서브넷 상의 시스템만 구성 정보를 공유하게 하려면 /etc/netboot의 하위 디렉토리에 공유할 구성 파일을 저장합니다. 하위 디렉토리는 이 이름 지정 규약을 따라야 합니다.

  /etc/netboot/net-ip

  이 예에서 net-ip는 클라이언트 서브넷의 IP 주소입니다.

• 클라이언트별 구성 – 특정 클라이언트만 부트 파일 시스템을 사용하게 하려면 /etc/netboot의 하위 디렉토리에 부트 파일 시스템 파일을 저장합니다. 하위 디렉토리는 이 이름 지정 규약을 따라야 합니다.

  /etc/netboot/net-ip/client-ID

  이 예에서 net-ip는 서브넷의 IP 주소입니다. client-ID는 DHCP 서버에서 할당한 클라이언트 ID이거나 사용자별 클라이언트 ID입니다.

/etc/netboot 계층 설계 방법에 대한 자세한 계획 수립 정보는 /etc/netboot 계층에 구성 및 보안 정보 저장를 참조하십시오.

/etc/netboot 계층 만들기

1. WAN 부트 서버에서 수퍼유저가 되도록 합니다.

2. /etc/netboot 디렉토리를 만듭니다.

   # mkdir /etc/netboot

3. /etc/netboot 디렉토리의 권한을 700으로 변경합니다.

   # chmod 700 /etc/netboot

4. /etc/netboot 디렉토리의 소유자를 웹 서버 소유자로 변경합니다.

   # chown web-server-user:web-server-group /etc/netboot/

   web-server-user

   웹 서버 프로세스의 사용자 소유자를 지정합니다.

   web-server-group

   웹 서버 프로세스의 그룹 소유자를 지정합니다.

5. 수퍼유저 역할을 종료합니다.

   # exit

6. 웹 서버 소유자의 사용자 역할을 가정합니다.

7. /etc/netboot 디렉토리의 클라이언트 하위 디렉토리를 만듭니다.

   # mkdir -p /etc/netboot/net-ip/client-ID

   -p

   mkdir 명령을 사용하여 사용자가 만들 디렉토리에 필요한 모든 부모 디렉토리를 만듭니다.

   (옵션) net-ip

   클라이언트 서브넷의 네트워크 IP 주소를 지정합니다.

   (옵션) client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 값이나 DHCP 클라이언트 ID일 수 있습니다. client-ID 디렉토리는 net-ip 디렉토리의 하위 디렉토리여야 합니다.

8. /etc/netboot 계층의 각 디렉토리에 대해 해당 권한을 700으로 변경합니다.

   # chmod 700 /etc/netboot/dir-name

   dir-name

   /etc/netboot 계층에서 디렉토리 이름을 지정합니다.

예 43–1 WAN 부트 서버에 /etc/netboot 계층 만들기

다음 예는 서브넷 192.168.255.0에 있는 클라이언트 010003BA152A42의 /etc/netboot 계층을 만드는 방법을 보여 줍니다. 이 예에서 사용자 nobody와 그룹 admin에는 웹 서버 프로세스가 있습니다.

이 예의 명령은 다음 작업을 수행합니다.

• /etc/netboot 디렉토리를 만듭니다.

• /etc/netboot 디렉토리의 권한을 700으로 변경합니다.

• /etc/netboot 디렉토리의 소유자를 웹 서버 프로세스의 소유자로 변경합니다.

• 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

• 서브넷(192.168.255.0) 이름을 따라 /etc/netboot의 하위 디렉토리를 만듭니다.

• 클라이언트 ID 이름을 따라 서브넷 디렉토리의 하위 디렉토리를 만듭니다.

• /etc/netboot 하위 디렉토리의 권한을 700으로 변경합니다.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사

wanboot-cgi 프로그램에서는 WAN 부트 서버에서 클라이언트로 다음 파일을 전송하는 데이터 스트림을 만듭니다.

• wanboot 프로그램

• WAN 부트 파일 시스템

• WAN 부트 미니루트

wanboot-cgi 프로그램은 Solaris 9 12/03 운영 환경을 설치할 때 해당 시스템에 설치됩니다. WAN 부트 서버에서 이 프로그램을 사용할 수 있도록 하려면 이 프로그램을 WAN 부트 서버의 cgi-bin 디렉토리로 복사합니다.

wanboot-cgi 프로그램을 WAN 부트 서버로 복사

1. WAN 부트 서버에서 수퍼유저가 되도록 합니다.

2. wanboot-cgi 프로그램을 WAN 부트 서버로 복사합니다.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi

   /WAN-server-root

   WAN 부트 서버에 있는 웹 서버 소프트웨어의 루트 디렉토리를 지정합니다.

3. WAN 부트 서버에서 CGI 프로그램의 권한을 755로 변경합니다.

   # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

(옵션) WAN 부트 로깅 서버 구성

클라이언트 이외의 시스템에 부트 및 설치 로깅 메시지를 기록하려면 로깅 서버를 설정해야 합니다. 설치하는 동안 HTTPS로 로깅 서버를 사용하려면 WAN 부트 서버를 로깅 서버로 구성해야 합니다.

로깅 서버를 구성하려면 다음 단계를 수행합니다.

로깅 서버 구성

1. bootlog-cgi 스크립트를 로깅 서버의 CGI 스크립트 디렉토리로 복사합니다.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin

   log-server-root/cgi-bin

   로깅 서버 웹 서버 디렉토리의 cgi-bin 디렉토리를 지정합니다.

2. bootlog-cgi 스크립트의 권한을 755로 변경합니다.

   # chmod 755 log-server-root/cgi-bin/bootlog-cgi

3. wanboot.conf파일의 boot_logger 매개 변수 값을 설정합니다.

   로깅 서버에 있는 bootlog-cgi 스크립트의 URL을 wanboot.conf 파일에 지정합니다.

   wanboot.conf 파일에서의 매개 변수 설정에 대한 자세한 내용은 wanboot.conf 파일 만들기를 참조하십시오.

   설치 동안 부트 및 설치 로그 메시지는 로깅 서버의 /tmp 디렉토리에 기록됩니다. 로그 파일의 이름은 bootlog.hostname이며 여기서 hostname은 클라이언트의 호스트 이름입니다.

예 43–2 HTTPS를 통한 WAN 부트 설치를 위한 로깅 서버 구성

다음 예에서는 WAN 부트 서버를 로깅 서버로 구성합니다.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

(옵션) HTTPS를 사용하여 데이터 보호

WAN 부트 서버에서 클라이언트로 전송하는 동안 데이터를 보호하기 위해 Secure Sockets Layer (HTTPS)를 통한 HTTP를 사용할 수 있습니다. 보안 WAN 부트 설치 구성에 설명되어 있는 보다 안전한 설치 구성을 사용하려면 웹 서버에서 HTTPS를 활성화해야 합니다.

WAN 부트 서버의 웹 서버 소프트웨어에서 HTTPS를 사용하게 하려면 다음 작업을 수행해야 합니다.

• 웹 서버 소프트웨어에서 SSL (Secure Sockets Layer) 지원을 활성화합니다.

  SSL 지원 및 클라이언트 인증 활성화 프로세스는 웹 서버에 따라 달라집니다. 이 문서에서는 사용자 웹 서버에서 이러한 보안 기능을 활성화하는 방법에 대해 설명하지 않습니다. 이러한 기능에 대한 자세한 내용은 다음 설명서를 참조하십시오.

  • SunONE과 iPlanet 웹 서버에서 SSL 활성화 방법에 대한 자세한 내용은 http://docs.sun.com의 Sun ONE 및 iPlanet 설명서 모음을 참조하십시오.

  • Apache 웹 서버에서 SSL 활성화 방법에 대한 자세한 내용은 http://httpd.apache.org/docs-project/의 Apache Documentation Project를 참조하십시오.

  • 위의 목록에 나열되어 있지 않은 웹 서버 소프트웨어를 사용하고 있는 경우 해당 웹 서버 소프트웨어 설명서를 참조하십시오.

• WAN 부트 서버에 디지털 인증서를 설치합니다.

  WAN 부트에 디지털 인증서를 사용하는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증에 디지털 인증서 사용를 참조하십시오.

• 신뢰할 수 있는 인증서를 클라이언트에게 제공합니다.

  신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증에 디지털 인증서 사용를 참조하십시오.

• 해싱 키와 암호 키를 만듭니다.

  키를 만드는 방법에 대한 자세한 내용은 해싱 키 및 암호 키 만들기를 참조하십시오.

• (옵션) 웹 서버 소프트웨어를 구성하여 클라이언트 인증을 지원합니다.

  클라이언트 인증을 지원하도록 웹 서버를 구성하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

서버 및 클라이언트 인증에 디지털 인증서 사용

WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항 및 지침은 디지털 인증서 요구 사항를 참조하십시오.

WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.

• PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.

• /etc/netboot 계층의 클라이언트 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.

• (옵션) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.

wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.

PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.

• /etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장를 참조하십시오.

• /etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

신뢰할 수 있는 인증서 및 클라이언트 개인 키 만들기

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

   -i p12cert

   분할할 PKCS#12 파일의 이름을 지정합니다.

   -t /etc/netboot/net-ip/client-ID/truststore

   클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

3. (옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.

   • 필요하면 다음 단계를 계속합니다.

   • 필요하지 않으면 해싱 키 및 암호 키 만들기로 이동하십시오.

   1. 클라이언트 certstore에 클라이언트 인증서를 삽입합니다.

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

      p12split

      PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

      -i p12cert

      분할할 PKCS#12 파일의 이름을 지정합니다.

      -c /etc/netboot/net-ip/client-ID/certstore

      클라이언트 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

      -k keyfile

      분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.

   2. 클라이언트 keystore에 개인 키를 삽입합니다.

      # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

      keymgmt -i

      클라이언트 keystore에 SSL 개인 키를 삽입합니다.

      -k keyfile

      이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.

      -s /etc/netboot/net-ip/client-ID/keystore

      클라이언트 keystore에 대한 경로를 지정합니다.

      -o type=rsa

      키 유형을 RSA로 지정합니다.

예 43–3 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기

다음 예에서는 PKCS#12 파일을 사용하여 서브넷 192.168.255.0에 클라이언트 010003BA152A42를 설치합니다 . 이 명령 샘플은 client.p12라는 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

해싱 키 및 암호 키 만들기

HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다. 해싱 키 및 암호 키에 대한 개요는 WAN 부트 설치 시 데이터 보호를 참조하십시오.

wanbootutil keygen 명령을 사용하여 키를 생성하고 이러한 키를 해당 /etc/netboot 디렉토리에 저장할 수 있습니다.

해싱 키 및 암호 키 만들기

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. 마스터 HMAC SHA1 키를 만듭니다.

   # wanbootutil keygen -m

   keygen -m

   WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다.

3. 해당 마스터 키에서 클라이언트의 HMAC SHA1 해싱 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (옵션) net=net-ip

   클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되므로 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   (옵션) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=sha1

   wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.

4. 클라이언트에 대해 암호 키를 만들어야 할지 여부를 결정합니다.

   HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.

   • 서버 인증을 사용하여 HTTPS를 통한 보다 안전한 WAN 설치를 수행하고 있다면 계속하십시오.

   • wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 단계 6으로 이동하십시오.

5. 클라이언트에 대한 암호 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   클라이언트의 암호 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (옵션) net=net-ip

   클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되므로 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   (옵션) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=key-type

   wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type은 3des 또는 aes 값일 수 있습니다.

6. 클라이언트 시스템에 키를 설치합니다.

   클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

예 43–4 HTTPS를 통한 WAN 부트 설치 시 필요한 키 만들기

다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 또한 이 예는 서브넷 192.168.255.0의 클라이언트 010003BA152A42에 대해 HMAC SHA1 해싱 키와 3DES 암호 키를 만듭니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des