In diesem Kapitel werden die folgenden Schritte zur Vorbereitung Ihres Netzwerks für eine WAN-Boot-Installation erläutert:
Vorbereitung der Installation über ein WAN (Übersicht der Schritte)
Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation
(Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server
In den folgenden Tabellen sehen Sie die Schritte, die Sie zur Vorbereitung einer WAN-Boot-Installation durchführen müssen.
Tabelle 43–1 zeigt die zur Vorbereitung einer sicheren WAN-Boot-Installation erforderlichen Schritte.
Eine Beschreibung einer sicheren WAN-Boot-Installation per HTTPS finden Sie in Sichere WAN-Boot-Installationskonfiguration .
In Tabelle 43–2 sind die Schritte aufgeführt, die Sie zur Vorbereitung einer unsicheren WAN-Boot-Installation durchführen müssen.
Eine Beschreibung einer unsicheren WAN-Boot-Installation finden Sie in Unsichere WAN-Boot-Installationskonfiguration .
Wenn Sie einen DHCP- oder einen Protokollserver einsetzen möchten, führen Sie die am Ende der einzelnen Tabellen aufgeführten optionalen Schritte durch.
Tabelle 43–1 Task Map: Vorbereitung für eine sichere WAN-Boot-Installation
Schritt |
Beschreibung |
Anweisungen siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. | |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
Für eine sicherere WAN-Boot-Installation stellen Sie die Webserver-Konfiguration auf sicheres HTTP ein. |
Ermitteln Sie die Webserver-Voraussetzungen für eine WAN-Installation per HTTPS. | |
Formatieren Sie digitale Zertifikate für eine sicherere WAN-Boot-Installation. |
Teilen Sie eine PKCS#12-Datei in einen privaten Schlüssel und ein Zertifikat für die WAN-Installation auf. |
So erzeugen Sie ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client |
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel für eine sicherere WAN-Boot-Installation. |
Erzeugen Sie mit dem Befehl wanbootutil keygen einen HMAC SHA1-, 3DES- oder AES-Schlüssel. | |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
| |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Tabelle 43–2 Task Map: Vorbereitung für eine unsichere WAN-Boot-Installation
Schritt |
Beschreibung |
Anweisungen siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. | |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
(Optional) Generieren Sie einen Hashing-Schlüssel. |
Erzeugen Sie mit dem Befehl wanbootutil keygen einen HMAC SHA1-Schlüssel. Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel. | |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
| |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Beim WAN-Boot-Server handelt es sich um einen Webserver, der die Boot- und Konfigurationsdaten für die WAN-Boot-Installation bereitstellt. In Tabelle 42–1 sind die Systemvoraussetzungen für WAN-Boot-Server aufgeführt.
In diesem Abschnitt werden die folgenden Schritte beschrieben, die zur Konfiguration des WAN-Boot-Servers für eine WAN-Boot-Installation nötig sind:
Damit die Webserver-Software auf dem WAN-Boot-Server die Konfigurations- und Installationsdateien bereitstellen kann, müssen Sie ihr Zugang zu diesen Dateien einräumen. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server zu speichern.
Wenn Sie die Konfigurations- und Installationsdateien in einem Dokument-Root-Verzeichnis zur Verfügung stellen möchten, müssen Sie dieses Verzeichnis zunächst anlegen. Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Informationen über die Strukturierung Ihres Dokument-Root-Verzeichnisses finden Sie in Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis.
WAN-Boot verwendet eine speziell auf die WAN-Boot-Installation ausgerichtete Solaris-Miniroot. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot. Wenn Sie eine WAN-Boot-Installation durchführen möchten, müssen Sie die Miniroot von der Solaris-DVD oder der Solaris Software 1 of 2-CD auf den WAN-Boot-Server kopieren. Kopieren Sie die WAN-Boot-Miniroot mit dem Befehl setup_install_server und der Option -w vom Solaris-Softwaredatenträger auf die Festplatte des Systems.
Bei diesem Verfahren wird eine SPARC-WAN-Boot-Miniroot mit einem SPARC-Datenträger erzeugt. Wenn Sie eine SPARC-WAN-Boot-Miniroot von einem x86–basierten Server aus zur Verfügung stellen möchten, müssen Sie die Miniroot auf einem SPARC-System erzeugen. Nachdem Sie die Miniroot erzeugt haben, kopieren Sie sie in das Dokument-Root-Verzeichnis auf dem x86–basierten Server.
Weitere Informationen über den Befehl setup_install_server finden Sie in Kapitel 15.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Informationen über die Verwaltung von Wechseldatenträgern ohne Volume Manager finden Sie in System Administration Guide: Basic Administration.
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Das System muss die folgenden Voraussetzungen erfüllen:
Es muss ein CD-ROM- oder DVD-ROM-Laufwerk aufweisen.
Es muss Teil des Netzwerks und Namen-Service des Standorts sein.
Wenn Sie einen Namen-Service verwenden, muss sich das System außerdem bereits in einem Namen-Service wie NIS, NIS+, DNS oder LDAP befinden. Wenn Sie keinen Namen-Service verwenden, müssen Sie die Informationen über dieses System in Übereinstimmung mit den Richtlinien des jeweiligen Standorts verteilen.
Legen Sie die Solaris Software 1 of 2-CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.
Erzeugen Sie ein Verzeichnis für die WAN-Boot-Miniroot und das Solaris-Installationsabbild.
# mkdir -p WAN_verz_pfad Inst_verz_pfad |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Gibt das Verzeichnis auf dem Installationsserver an, in dem die WAN-Boot-Miniroot erzeugt werden soll. Dieses Verzeichnis muss Miniroots aufnehmen können, die in der Regel 250 MB groß sind.
Gibt das Verzeichnis auf dem Installationsserver an, in welches das Solaris-Software-Abbild kopiert werden soll. Dieses Verzeichnis kann zu einem späteren Zeitpunkt in diesem Verfahren entfernt werden.
Wechseln Sie in das Verzeichnis Tools auf dem eingehängten Datenträger.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
In obigem Beispiel steht cdrom0 für den Pfad zu dem Laufwerk, in dem sich der Solaris-Datenträger befindet.
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild auf die Festplatte des WAN-Boot-Servers.
# ./setup_install_server -w WAN_verz_pfad Inst_verz_pfad |
Gibt das Verzeichnis an, in das die WAN-Boot-Miniroot kopiert werden soll.
Gibt das Verzeichnis an, in welches das Solaris-Software-Abbild kopiert werden soll.
Der Befehl setup_install_server gibt an, ob ausreichend Festplattenspeicher für die Solaris Software-Abbilder vorhanden ist. Um den verfügbaren Festplattenspeicher zu ermitteln, verwenden Sie den Befehl df -kl.
Der Befehl setup_install_server -w erzeugt die WAN-Boot-Miniroot und ein Netzwerkinstallationsabbild der Solaris-Software.
(Optional) Entfernen Sie das Netzwerkinstallationsabbild.
Für eine WAN-Installation mit Solaris Flash-Archiv brauchen Sie das Solaris-Software-Abbild nicht. Wenn Sie nicht beabsichtigen, das Netzwerkinstallationsabbild für weitere Netzwerkinstallationen einzusetzen, haben Sie also die Möglichkeit, Speicherplatz auf der Festplatte freizuräumen. Geben Sie folgenden Befehl ein, um das Netzwerkinstallationsabbild zu löschen.
# rm -rf Inst_verz_pfad |
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zur WAN-Boot-Miniroot ein.
Erzeugen Sie einen symbolischen Link auf die WAN-Boot-Miniroot im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /Dok_Root-Verz/miniroot # ln -s /WAN_verz_pfad/miniroot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem sich die WAN-Boot-Miniroot befindet, auf die der Link erzeugt werden soll.
Gibt den Pfad zur WAN-Boot-Miniroot an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /WAN_verz_pfad/miniroot /Dokument-Root-Verz/miniroot/Miniroot-Name |
Gibt den Pfad zur WAN-Boot-Miniroot an.
Gibt den Pfad zum WAN-Boot-Miniroot-Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Steht für den Namen der WAN-Boot-Miniroot. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel miniroot.s9_sparc.
Für die Installation des Clients kommt in WAN-Boot ein spezielles Unterprogramm (wanboot) zum Einsatz. Das wanboot-Programm lädt die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die für eine WAN-Boot-Installation erforderlichen Installationsdateien.
Das wanboot-Programm muss dem Client während der WAN-Boot-Installation zur Verfügung gestellt werden. Hierzu haben Sie folgende Möglichkeiten:
Wenn der Client-PROM WAN-Boot unterstützt, können Sie das Programm vom WAN-Boot-Server auf den Client übertragen. Wie Sie feststellen, ob der PROM des Clients WAN-Boot unterstützt, erfahren Sie in Überprüfen des Client-OBP auf WAN-Boot-Unterstützung .
Wenn der Client-PROM keine Unterstützung für WAN-Boot bietet, müssen Sie dem Client das Programm auf einer lokalen CD zur Verfügung stellen. In diesem Fall setzen Sie die Installationsvorbereitung mit Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server fort.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Informationen über die Verwaltung von Wechseldatenträgern ohne Volume Manager finden Sie in System Administration Guide: Basic Administration.
Melden Sie sich auf dem Installationsserver als Superuser an.
Legen Sie die Solaris Software 1 of 2-CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.
Wechseln Sie in das Plattformverzeichnis sun4u auf der Solaris Software 1 of 2-CD oder der Solaris-DVD.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
Kopieren Sie das wanboot-Programm auf den Installationsserver.
# cp wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name |
Steht für das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
Gibt den Namen des wanboot-Programms an. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel wanboot.s9_sparc.
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zum wanboot-Programm ein.
Erzeugen Sie einen symbolischen Link auf das wanboot-Programm im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /Dokument-Root-Verz/wanboot # ln -s /WAN_verz_pfad/wanboot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem sich das wanboot-Programm befindet, auf das der Link erzeugt werden soll.
Gibt den Pfad zum wanboot-Programm an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /WAN_verz_pfad/wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name |
Gibt den Pfad zum wanboot-Programm an.
Gibt den Pfad zum wanboot-Programmverzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Gibt den Namen des wanboot-Programms an. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel wanboot.s9_sparc.
Während der Installation sucht WAN-Boot in der /etc/netboot-Hierarchie auf dem Webserver nach Installationsanweisungen. Dieses Verzeichnis enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für die WAN-Boot-Installation benötigt werden. Aus diesen Informationen bildet das Programm wanboot-cgi bei der Installation das WAN-Boot-Dateisystem. Anschließend überträgt das Programm wanboot-cgi das WAN-Boot-Dateisystem an den Client.
Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.
Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.
Netzwerkspezifische Konfiguration – Wenn nur die Systeme in einem bestimmten Teilnetz dieselben Konfigurationsinformationen gemeinsam verwenden sollen, speichern Sie die gemeinsamen Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients.
Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP/Client-ID |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID.
Ausführliche Hinweise zur Planung der /etc/netboot-Hierarchie finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie .
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Erzeugen des Verzeichnisses /etc/netboot.
# mkdir /etc/netboot |
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
# chmod 700 /etc/netboot |
Setzen Sie den Eigentümer des Verzeichnisses /etc/netboot auf den Webserver-Eigentümer.
# chown Webserver-Benutzer:Webserver-Gruppe /etc/netboot/ |
Steht für den Benutzer, der Eigentümer des Webserver-Prozesses ist.
Steht für die Gruppe, die Eigentümer des Webserver-Prozesses ist.
Beenden Sie den Superuser-Status.
# exit |
Nehmen Sie die Benutzerrolle des Webserver-Eigentümers an.
Erzeugen Sie in /etc/netboot ein Unterverzeichnis für den Client.
# mkdir -p /etc/netboot/Netz-IP/Client-ID |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Die Netzwerk-IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Das Client-ID-Verzeichnis muss ein Unterverzeichnis des Netz-IP-Verzeichnisses sein.
Setzen Sie die Berechtigungen für jedes Verzeichnis in der /etc/netboot-Hierarchie auf 700.
# chmod 700 /etc/netboot/Verz-Name |
Steht für den Namen eines Verzeichnisses in der /etc/netboot-Hierarchie.
Das folgende Beispiel zeigt, wie Sie die /etc/netboot-Hierarchie für den Client 010003BA152A42 im Teilnetz 192.168.255.0 erstellen können. In diesem Beispiel sind der Benutzer nobody und die Gruppe admin Eigentümer des Webserver-Prozesses.
Die Befehle in diesem Beispiel führen folgende Aktionen durch:
Erzeugen des Verzeichnisses /etc/netboot.
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
Setzen Sie den Besitzer des Webserver-Prozesses als Besitzer des Verzeichnisses /etc/netboot.
Annehmen der Benutzerrolle des Webserver-Benutzers.
Erzeugen eines Unterverzeichnisses in /etc/netboot mit dem Namen des Teilnetzes (192.168.255.0).
Erzeugen eines Unterverzeichnisses im Teilnetzverzeichnis und benennen nach der Client-ID.
Setzen Sie die Berechtigungen für die Unterverzeichnisse von /etc/netboot auf 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
Das Programm wanboot-cgi erzeugt die Datenströme, mit welchen die folgenden Dateien vom WAN-Boot-Server zum Client übertragen werden.
wanboot-Programm
WAN-Boot-Dateisystem
WAN-Boot-Miniroot
Das Programm wanboot-cgi wird mit der Installation des Betriebssystems Solaris 9 12/03 oder einer kompatiblen Version auf dem System installiert. Damit der WAN-Boot-Server auf dieses Programm zugreifen kann, kopieren Sie es in das Verzeichnis cgi-bin des WAN-Boot-Servers.
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server.
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-Server-Root/cgi-bin/wanboot-cgi |
Steht für das Root-Verzeichnis der Webserver-Software auf dem WAN-Boot-Server.
Setzen Sie auf dem WAN-Boot-Server die Berechtigungen für das CGI-Programm auf 755.
# chmod 755 /WAN-Server-Root/cgi-bin/wanboot-cgi |
Wenn die Boot- und Installationsprotokollmeldungen auf einem anderen System als dem Client aufgezeichnet werden sollen, müssen Sie einen Protokollserver (Logging-Server) einrichten. Soll der Protokollserver bei der Installation mit HTTPS arbeiten, muss der WAN-Boot-Server als Protokollserver konfiguriert werden.
Zum Konfigurieren des Protokollservers führen Sie die nachfolgenden Schritte durch.
Kopieren Sie das Skript bootlog-cgi in das CGI-Skriptverzeichnis des Protokollservers.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ Protokollserver-Root/cgi-bin |
Steht für das Verzeichnis cgi-bin im Webserver-Verzeichnis des Protokollservers.
Setzen Sie die Berechtigungen für das Skript bootlog-cgi auf 755.
# chmod 755 Protokollserver-Root/cgi-bin/bootlog-cgi |
Setzen Sie den Wert für den Parameter boot_logger in der Datei wanboot.conf.
Geben Sie in der Datei wanboot.conf die URL des Skripts bootlog-cgi auf dem Protokollserver an.
Weitere Informationen zum Einstellen der Parameter in der Datei wanboot.conf finden Sie in Erzeugen der Datei wanboot.conf .
Während der Installation werden im Verzeichnis /tmp des Protokollservers Boot- und Installationsprotokollmeldungen aufgezeichnet. Die Protokolldatei erhält den Namen bootlog.Host-Name, wobei Host-Name der Host-Name des Clients ist.
Im folgenden Beispiel wird der WAN-Boot-Server als Protokollserver konfiguriert.
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.
Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:
Aktivieren Sie die SSL-Unterstützung in Ihrer Webserver-Software.
Die Vorgehensweise zum Aktivieren der SSL-Unterstützung und der Client-Authentifizierung ist vom jeweiligen Webserver abhängig. Dieses Dokument enthält keine Anweisungen zum Aktivieren dieser Sicherheitsfunktionen auf dem Webserver. Die entsprechenden Informationen entnehmen Sie bitte der folgenden Dokumentation:
Informationen zum Aktivieren von SSL auf den Webservern SunONE und iPlanet finden Sie in den Sun ONE- und iPlanet-Dokumentationsreihen unter http://docs.sun.com.
Informationen zum Aktivieren von SSL auf dem Webserver Apache finden Sie im Dokumentationsprojekt unter http://httpd.apache.org/docs-project/.
Informationen zu hier nicht aufgeführter Webserver-Software entnehmen Sie bitte der Dokumentation zu Ihrer Webserver-Software.
Installieren Sie digitale Zertifikate auf dem WAN-Boot-Server.
In Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung erhalten Sie Informationen über die Verwendung von digitalen Zertifikaten mit WAN-Boot.
Stellen Sie dem Client ein vertrauenswürdiges Zertifikat zur Verfügung.
Wie vertrauenswürdige Zertifikate generiert werden, erfahren Sie in Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung .
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
Anweisungen zum Generieren von Schlüsseln finden Sie in Erzeugen eines Hashing- und eines Chiffrierschlüssels .
(Optional) Aktivieren Sie die Unterstützung für die Client-Authentifizierung in der Konfiguration der Webserver-Software.
Anweisungen hierzu entnehmen Sie bitte der Dokumentation zu Ihrem Webserver.
Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.
Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:
Teilen Sie die PKCS#12-Datei in einen privaten SSL-Schlüssel und ein vertrauenswürdiges Zertifikat auf.
Fügen Sie das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. Dieses Zertifikat weist den Client an, den Server als vertrauenswürdig zu akzeptieren.
(Optional) Fügen Sie den Inhalt der Datei des privaten SSL-Schlüssels in die Datei keystore des Clients in der /etc/netboot-Hierarchie ein.
Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.
Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Einen Überblick über die /etc/netboot-Hierarchie bietet Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie .
Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server .
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/Netz-IP/Client-ID/truststore |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
(Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.
Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.
Anderenfalls fahren Sie mit Erzeugen eines Hashing- und eines Chiffrierschlüssels fort.
Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
# wanbootutil keymgmt -i -k Schlüsseldatei \ -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa |
Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.
Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.
Gibt den Pfad zur Datei keystore des Clients an.
Gibt RSA als Schlüsseltyp an.
Im folgenden Beispiel für die Installation des Clients 010003BA152A42 im Teilnetz 192.168.255.0 eine PKCS#12-Datei eingesetzt. Dieser Beispielbefehl extrahiert ein Zertifikat namens client.p12 aus einer PKCS#12-Datei. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden. In Schutz der Daten während einer WAN-Boot-Installation erhalten Sie eine Übersicht über Hashing-Schlüssel und die Verschlüsselung (Chiffrierschlüssel).
Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie den HMAC SHA1-Masterschlüssel.
# wanbootutil keygen -m |
Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.
Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.
# wanbootutil keygen -c -o [net=Netz-IP,{cid=Client-ID,}]type=sha1 |
Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.
Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.
Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.
Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.
Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.
Chiffrierschlüssel für den Client erzeugen
# wanbootutil keygen -c -o [net=Netz-IP,{cid=Client-ID,}]type=Schlüsseltyp |
Erzeugt den Chiffrierschlüssel für den Client.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die Netzwerk-IP-Adresse für den Client an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.
Installieren Sie die Schlüssel auf dem Client-System.
In Installation von Schlüsseln auf dem Client finden Sie Anweisungen zum Installieren von Schlüsseln auf einem Client.
In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.255.0 generiert.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |
WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Client. Die benutzerdefinierte JumpStart-Installation bietet eine Befehlszeilenschnittstelle, mit der Sie automatisch auf mehreren Systemen eine Installation ausführen können, und zwar basierend auf von Ihnen erstellten Profilen. Diese Profile definieren die spezifischen Software-Installationsanforderungen. Außerdem können Sie für die vor und nach der Installation erforderlichen Schritte Shell-Skripte verwenden. Dabei geben Sie selbst an, welche Profile und Skripte für die Installation bzw. das Upgrade verwendet werden sollen. Die Installation bzw. das Upgrade mit der benutzerdefinierten JumpStart-Installation wird dann auf der Grundlage der von Ihnen ausgewählten Profile und Skripte ausgeführt. Außerdem können Sie eine sysidcfg-Datei verwenden und die Konfigurationsinformationen vorkonfigurieren, so dass die benutzerdefinierte JumpStart-Installation völlig ohne Benutzereingriff abläuft.
Führen Sie die folgenden Schritte durch, um JumpStart-Dateien für eine WAN-Boot-Installation vorzubereiten.
Ausführliche Informationen zum benutzerdefinierten JumpStart-Installationsverfahren finden Sie in Kapitel 25.
Die Installationsfunktion Solaris Flash bietet die Möglichkeit, mit einer Solaris-Modellinstallation auf dem so genannten Master-System vorzugehen. Sie können dann ein Solaris Flash-Archiv erzeugen, das ein genaues Abbild des Master-Systems ist. Das Solaris Flash-Archiv können Sie auf anderen Systemen im Netzwerk installieren, wodurch Klon-Systeme erzeugt werden.
In diesem Abschnitt erfahren Sie, wie Sie ein Solaris Flash-Archiv für Ihre WAN-Boot-Installation erzeugen. Bevor Sie ein Solaris Flash-Archiv erzeugen, müssen Sie das Master-System einrichten.
Informationen zur Installation eines Master-Systems finden Sie in Installation des Master-Systems.
Ausführliche Informationen über Solaris Flash-Archive finden Sie in Kapitel 21.
Ausführliche Anweisungen zum Erzeugen von Solaris Flash-Archiven finden Sie in Erstellen von Solaris Flash-Archiven.
Starten Sie das Master-System.
Bringen Sie das Master-System in einen so weit wie möglich inaktiven Zustand. Versetzen Sie das System nach Möglichkeit in den Einzelbenutzermodus. Wenn das nicht möglich ist, fahren Sie alle Anwendungen, die archiviert werden sollen, sowie alle Anwendungen, die die Betriebssystemressourcen stark beanspruchen, herunter.
Legen Sie das Archiv mit dem Befehl flar create an.
# flar create -n Name [optionale_Parameter] Dokument-Root/flash/Dateiname |
Der Name, den Sie dem Archiv geben. Der Name, den Sie angeben, ist der Wert des Schlüsselworts content_name.
Es stehen verschiedene Optionen für den Befehl flar create zur Verfügung, die Ihnen eine Anpassung des Solaris Flash-Archivs ermöglichen. In Kapitel 23 sind diese Optionen ausführlich beschrieben.
Der Pfad zum Solaris Flash-Unterverzeichnis im Dokument-Root-Verzeichnis des Installationsservers.
Der Name der Archivdatei.
Um Speicherplatz zu sparen, können Sie das Archiv komprimieren, indem Sie dem Befehl flar create die Option -c übergeben. Ein komprimiertes Archiv kann jedoch die Leistung der WAN-Boot-Installation beeinträchtigen. Weitere Informationen über die Herstellung komprimierter Archive entnehmen Sie bitte der Manpage flar create(1M).
Wenn das Archiv erfolgreich angelegt wird, gibt der Befehl flar create den Beendigungscode 0 zurück.
Wenn das Anlegen des Archivs fehlschlägt, gibt der Befehl flar create einen Beendigungscode ungleich 0 zurück.
Beispiele zur Erzeugung von Solaris Flash-Archiven finden Sie in Beispiele — Erzeugen eines Archivs für eine Neuinstallation.
In der Datei sysidcfg können Sie zum Vorkonfigurieren eines Systems eine Reihe von Schlüsselwörtern angeben. Ausführlichere Informationen über Schlüsselwörter und Werte für sysidcfg finden Sie in Vorkonfiguration mit der Datei sysidcfg .
Erzeugen Sie auf dem Installationsserver in einem Texteditor eine Datei namens sysidcfg.
Geben Sie die gewünschten sysidcfg-Schlüsselwörter ein.
Ausführliche Informationen zu den Schlüsselwörtern für sysidcfg finden Sie in Schlüsselwörter in der Datei sysidcfg .
Speichern Sie die Datei sysidcfg in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Im Folgenden sehen Sie eine sysidcfg-Beispieldatei für ein SPARC-System. Host-Name, IP-Adresse und Netzmaske dieses Systems wurden durch Bearbeitung des Namen-Service vorkonfiguriert.
network_interface=primary {hostname=seahag default_route=192.168.88.1 ip_address=192.168.88.210 netmask=255.255.0.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
Bei einem Profil handelt es sich um eine Textdatei, aus welcher das Programm für die benutzerdefinierte JumpStart-Installation entnimmt, wie die Solaris-Software auf einem System installiert werden soll. Ein Profil definiert Elemente der Installation, wie zum Beispiel die zu installierende Softwaregruppe.
Ausführliche Informationen über die Erstellung von Profilen finden Sie in Erstellen eines Profils.
Erzeugen Sie auf dem Installationsserver eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen.
Stellen Sie sicher, dass der Name des Profils wiedergibt, wie Sie das Profil zum Installieren der Solaris-Software auf einem System einsetzen wollen. So können Sie zum Beispiel die Profile basic_install, eng_profile oder user_profile anlegen.
Fügen Sie Schlüsselwörter und Werte zu dem Profil hinzu.
Eine Liste der Schlüsselwörter und Werte finden Sie unter Profilschlüsselwörter und -werte.
Bei Profilschlüsselwörtern und deren Werten wird zwischen Groß- und Kleinschreibung unterschieden.
Speichern Sie das Profil in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie das Profil in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer des Profils ist und dass die Berechtigungen auf 644 gesetzt sind.
(Optional) Testen Sie das Profil.
Testen eines Profils enthält Informationen zum Testen von Profilen.
Das Profil in folgendem Beispiel sieht vor, dass das Programm für die benutzerdefinierte JumpStart-Installation das Solaris Flash-Archiv von einem sicheren HTTP-Server abruft.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.255.255/solarisupdate.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.
Das Profil installiert ein Solaris Flash-Archiv auf dem Klon-System. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.
Das komprimierte Solaris Flash-Archiv wird von einem sicheren HTTP-Server abgerufen.
Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.
Bei der Datei rules handelt es sich um eine Textdatei, die für jede Gruppe von Systemen, auf welchen das Betriebssystem Solaris installiert werden soll, eine Regel enthält. Jede Regel charakterisiert eine Gruppe von Systemen auf der Grundlage von einem oder mehreren Systemattributen. Jede Regel verknüpft außerdem jede Gruppe mit einem Profil. Ein Profil ist eine Textdatei, in der definiert ist, wie die Solaris-Software auf den Systemen in der Gruppe installiert werden soll. Die folgende Regel legt zum Beispiel fest, dass das JumpStart-Programm die Informationen im Profil basic_prof zur Installation aller Systeme der Plattformgruppe sun4u verwenden soll.
karch sun4u - basic_prof - |
Die Datei rules dient zum Generieren der Datei rules.ok, die für benutzerdefinierte JumpStart-Installationen erforderlich ist.
Ausführliche Informationen zum Erstellen der Datei rules finden Sie in Erstellen der Datei rules.
Erzeugen Sie auf dem Installationsserver eine Textdatei namens rules.
Fügen Sie für jede Gruppe von Systemen, die eingerichtet werden sollen, eine Regel in die Datei rules ein.
Ausführliche Informationen zum Erstellen der Datei rules finden Sie in Erstellen der Datei rules.
Speichern Sie die Datei rules auf dem Installationsserver.
Überprüfen Sie die Datei rules.
$ ./check [[-p Pfad -r Dateiname]] |
Validiert die Datei rules unter Verwendung des Skripts check aus dem Abbild der Solaris 9-Software anstelle des Skripts check auf dem System, mit dem Sie arbeiten. Pfad ist der Pfad zu einem Abbild auf einer lokalen Festplatte oder zu einer eingehängten Solaris-DVD oder Solaris Software 1 of 2-CD.
Verwenden Sie diese Option, um die neueste Version von check auszuführen, wenn auf dem System eine frühere Version von Solaris läuft.
Gibt eine andere rules-Datei als die mit dem Namen rules an. Mit dieser Option können Sie die Gültigkeit einer Regel testen, bevor Sie die Regel in die Datei rules aufnehmen.
Während das Skript check ausgeführt wird, werden Meldungen zur Validierung der Datei rules und der einzelnen Profile ausgegeben. Wenn keine Fehler auftreten, gibt das Skript Folgendes aus: The custom JumpStart configuration is ok. Das Skript check erzeugt die Datei rules.ok.
Speichern Sie die Datei rules.ok in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer der Datei rules.ok ist und dass die Berechtigungen auf 644 gesetzt sind.
Beispiele für die Datei rules finden Sie in rules-Beispieldatei.
Begin- und Finish-Skripten sind benutzerdefinierte Bourne-Shell-Skripten, die Sie in der Datei rules angeben. Ein Begin-Skript führt bestimmte Aufgaben aus, bevor die Solaris-Software auf einem System installiert wird. Ein Finish-Skript führt bestimmte Aufgaben nach der Installation der Solaris-Software auf einem System auf, jedoch bevor das System erneut gebootet wird. Sie können diese Skripten nur verwenden, wenn Sie die Solaris-Software mit dem benutzerdefinierten JumpStart-Installationsverfahren installieren.
Mit Begin-Skripten lassen sich abgeleitete Profile erstellen. Finish-Skripten dienen zur Durchführung verschiedenster Vorgänge nach der Installation. Hierzu gehört das Hinzufügen von Dateien, Packages, Patches oder zusätzlicher Software.
Begin- und Finish-Skripten müssen in demselben Verzeichnis auf dem Installationsserver gespeichert werden wie die Dateien sysidcfg, rules.ok und die Profildateien.
Weitere Informationen zur Erstellung von Begin-Skripten finden Sie in Erstellen von Begin-Skripten.
Weitere Informationen zur Erstellung von Finish-Skripten finden Sie in Erstellen von Finish-Skripten.
Zur Ermittlung der Adressen der für die WAN-Boot-Installation benötigten Daten und Dateien stützt sich WAN-Boot auf folgende Dateien:
Systemkonfigurationsdatei (system.conf)
wanboot.conf
In diesem Abschnitt erfahren Sie, wie diese beiden Dateien erzeugt und gespeichert werden.
Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:
sysidcfg
rules.ok
Profil für die benutzerdefinierte JumpStart-Installation
Die Informationen für Installation und Konfiguration der Clients entnimmt WAN-Boot aus den Dateien, auf die in der Systemkonfigurationsdatei verwiesen wird.
Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:
Einstellung=Wert
Führen Sie die nachfolgenden Schritte durch, um die WAN-Installationsprogramme mithilfe einer Systemkonfigurationsdatei zu den Dateien sysidcfg, rules.ok und den Profildateien zu leiten.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen, wie zum Beispiel sys-conf.s9–sparc.
Fügen Sie die folgenden Einträge in die Systemkonfigurationsdatei ein:
Diese Einstellung verweist auf das Verzeichnis flash auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Vergewissern Sie sich, dass diese URL mit dem Pfad zur Datei sysidcfg übereinstimmt, die Sie in Erzeugen der Datei sysidcfg erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Diese Einstellung verweist auf das Solaris Flash-Verzeichnis auf dem Installationsserver, das die Datei rules.ok, die Profildatei und die Begin- und Finish-Skripten enthält. Diese URL muss mit dem Pfad zu den JumpStart-Dateien übereinstimmen, die Sie in Erstellen eines Profils und Erstellen der Datei rules erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Zur Erleichterung der Administration bietet es sich an, die Datei im entsprechenden Client-Verzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server zu speichern.
Setzen Sie die Berechtigungen für die Systemkonfigurationsdatei auf 600.
# chmod 600 /Pfad/Sys_konf_datei |
Steht für den Pfad zum Verzeichnis, das die Systemkonfigurationsdatei enthält.
Steht für den Namen der Systemkonfigurationsdatei.
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver https://www.example.com an Port 1234 nach der Datei sysidcfg und Dateien für die benutzerdefinierte JumpStart-Installation. Der Webserver verwendet HTTP zur Verschlüsselung der Daten und Dateien während der Installation.
Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.
SsysidCF=https://www.example.com:1234/htdocs/flash SjumpsCF=https://www.example.com:1234/htdocs/flash
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver verwendet eine HTTP-Verbindung, und die Daten und Dateien sind während der Installation ungeschützt.
Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.
SsysidCF=http://www.example.com/htdocs/flash SjumpsCF=http://www.example.com/htdocs/flash
Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Programme für die Durchführung einer WAN-Installation zugreifen. Sowohl das Programm wanboot-cgi als auch das Boot-Dateisystem und die WAN-Boot-Miniroot greifen für die Installation des Client-Systems auf die Informationen in der Datei wanboot.conf zu.
Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server .
Wenn auf dem WAN-Boot-Server das Betriebssystem Solaris 9 12/03 oder eine kompatible Version ausgeführt wird, finden Sie unter /etc/netboot/wanboot.conf.sample eine wanboot.conf-Beispieldatei. Diese Beispieldatei können Sie als Vorlage für Ihre WAN-Boot-Installation verwenden.
Die nachfolgenden Informationen müssen in der Datei wanboot.conf enthalten sein.
Tabelle 43–3 Informationen in der Datei wanboot.conf
Diese Informationen stellen Sie bereit, indem Sie die Parameter und die dazugehörigen Werte in folgendem Format aufführen:
Parameter=Wert
Ausführliche Informationen über Parameter und Syntax für die Datei wanboot.conf finden Sie in Parameter der Datei wanboot.conf und Syntax.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie die Textdatei wanboot.conf.
Dabei können Sie entweder eine neue Datei namens wanboot.conf erstellen oder die in /etc/netboot/wanboot.conf.sample enthaltene Beispieldatei verwenden. Wenn Sie auf die Beispieldatei zurückgreifen, benennen Sie die Datei in wanboot.conf um, nachdem Sie alle Parameter hinzugefügt haben.
Geben Sie die geeigneten wanboot.conf-Parameter und -Parameterwerte für Ihre Installation ein.
Ausführliche Beschreibungen der Parameter und Werte für die Datei wanboot.conf finden Sie in Parameter der Datei wanboot.conf und Syntax.
Speichern Sie die Datei wanboot.conf in dem passenden Unterverzeichnis in der /etc/netboot-Hierarchie.
Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server .
Überprüfen Sie die Datei wanboot.conf.
# bootconfchk /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf |
Steht für den Pfad zur Datei wanboot.conf des Clients auf dem WAN-Boot-Server.
Wenn die Struktur der Datei wanboot.conf gültig ist, gibt der Befehl bootconfchk den Beendigungscode 0 zurück.
Ist die Datei wanboot.conf hingegen ungültig, liefert der Befehl bootconfchk einen Beendigungscode ungleich Null.
Setzen Sie die Berechtigungen für die Datei wanboot.conf auf 600.
# chmod 600 /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf |
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine WAN-Installation mit sicherem HTTP. Außerdem ist in der Datei wanboot.conf festgelegt, dass bei der Installation eine 3DES-Verschlüsselung zum Einsatz kommt.
boot_file=/wanboot/wanboot.s9_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=system.conf
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s9_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet https://www.Beispiel.com:1234/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.
Die WAN-Boot-Miniroot heißt miniroot.s9_sparc. Die Miniroot befindet sich im Verzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Das Programm wanboot.s9_sparc und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.
Das Programm wanboot.s9_sparc und das Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.
Der Server wird bei der Installation authentifiziert.
Der Client wird bei der Installation nicht authentifiziert.
Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden per sicherem HTTP auf dem WAN-Boot-Server aufgezeichnet.
Wie Sie einen Protokollserver für Ihre WAN-Boot-Installation einrichten, entnehmen Sie bitte dem Abschnitt (Optional) Konfiguration des WAN-Boot-Protokollservers .
Die Systemkonfigurationsdatei, aus der die Adressen der Datei sysidcfg und der JumpStart-Dateien hervorgehen, ist in einem Unterverzeichnis der /etc/netboot-Hierarchie enthalten. Die Systemkonfigurationsdatei heißt system.conf.
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine weniger sichere WAN-Boot-Installation mit HTTP. Diese wanboot.conf-Datei gibt auch vor, dass bei der Installation weder ein Hashing-Schlüssel noch eine Verschlüsselung zum Einsatz kommen.
boot_file=/wanboot/wanboot.s9_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=system.conf
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s9_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet http://www.Beispiel.com/cgi-bin/wanboot-cgi. Die Installation erfolgt nicht über sicheres HTTP.
Die WAN-Boot-Miniroot heißt miniroot.s9_sparc. Die Miniroot befindet sich im Unterverzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Weder das Programm wanboot.s9_sparc noch das WAN-Boot-Dateisystem werden mit einem Hashing-Schlüssel signiert.
Das Programm wanboot.s9_sparc und das Boot-Dateisystem werden nicht verschlüsselt.
Der Server wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Der Client wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Es werden keine zusätzlichen Host-Namen für die Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden auf dem WAN-Boot-Server aufgezeichnet.
Wie Sie einen Protokollserver für Ihre WAN-Boot-Installation einrichten, entnehmen Sie bitte dem Abschnitt (Optional) Konfiguration des WAN-Boot-Protokollservers .
Die Systemkonfigurationsdatei mit den Adressen der Datei sysidcfg und der JumpStart-Dateien heißt system.conf. Diese Datei befindet sich im entsprechenden Client-Unterverzeichnis in der /etc/netboot-Hierarchie.
Kommt in Ihrem Netzwerk ein DHCP-Server zum Einsatz, können Sie diesen so konfigurieren, dass er die folgenden Informationen zur Verfügung stellt:
IP-Adresse des Proxy-Servers
Adresse des Programms wanboot-cgi
Sie können die folgenden DHCP-Herstelleroptionen in der WAN-Boot-Installation verwenden:
IP-Adresse des Proxyservers für das Netzwerk
Gibt die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.
Informationen zur Einstellung dieser Herstelleroptionen auf einem Solaris-DHCP-Server finden Sie in Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen).
Ausführliche Informationen über die Einrichtung eines Solaris-DHCP-Servers finden Sie unter “Configuring DHCP Service (Task)” in System Administration Guide: IP Services.