Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie

Das Verzeichnis /etc/netboot enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für eine WAN-Boot-Installation erforderlich sind. In diesem Abschnitt sind die Dateien und Verzeichnisse dargestellt, die Sie im Verzeichnis /etc/netboot erzeugen können, um Ihre WAN-Boot-Installation individuell anzupassen.

Anpassung des Aktionsbereichs der WAN-Boot-Installation

Während der Installation sucht das Programm wanboot-cgi im Verzeichnis /etc/netboot auf dem WAN-Boot-Server nach den Client-Informationen. Das Programm wanboot-cgi konvertiert diese Informationen in das WAN-Boot-Dateisystem und überträgt dieses dann an den Client. Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.

• Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.

• Netzwerkspezifische Konfiguration – Wenn nur die Systeme in einem bestimmten Teilnetz dieselben Konfigurationsinformationen gemeinsam verwenden sollen, speichern Sie die gemeinsamen Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients. Wenn Sie die Konfigurationsdateien beispielsweise an alle Systeme im Teilnetz mit der IP-Adresse 192.168.255.0 freigeben möchten, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0. Speichern Sie dann die Konfigurationsdateien in diesem Verzeichnis.

• Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP/Client-ID

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID. Wenn zum Beispiel ein System mit der Client-ID 010003BA152A42 im Teilnetz 192.168.255.0 systemspezifische Konfigurationsdateien verwenden soll, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0/010003BA152A42. Speichern Sie dann die entsprechenden Dateien in diesem Verzeichnis.

Angeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Zum Angeben der Konfigurations- und Sicherheitsinformationen erstellen Sie die folgenden Dateien und speichern sie im Verzeichnis /etc/netboot.

• wanboot.conf – Diese Datei gibt die Client-Konfigurationsinformationen für eine WAN-Boot-Installation an.

• Systemkonfigurationsdatei (system.conf) – Diese Systemkonfigurationsdatei gibt die Adresse der Datei sysidcfg und der JumpStart-Dateien für den Client an.

• keystore – Diese Datei enthält den HMAC SHA1-Hashing-Schlüssel, die 3DES- bzw. AES-Verschlüsselung und den privaten SSL-Schlüssel des Clients.

• truststore – Diese Datei enthält die digitalen Zertifikate der vom Client zu akzeptierenden Zertifikat-Signaturstellen. Diese vertrauenswürdigen Zertifikate weisen den Client an, den Server während der Installation als vertrauenswürdig zu akzeptieren.

• certstore – Diese Datei enthält das digitale Zertifikat des Clients.

  ---

  Hinweis –

  Die Datei certstore muss im Verzeichnis der Client-ID gespeichert sein. Weitere Informationen über Unterverzeichnisse von /etc/netboot finden Sie in Anpassung des Aktionsbereichs der WAN-Boot-Installation .

  ---

Ausführliche Anweisungen zum Erstellen und Speichern dieser Dateien stehen Ihnen in folgenden Abschnitten zur Verfügung:

• Erzeugen der Systemkonfigurationsdatei

• Erzeugen der Datei wanboot.conf

• Erzeugen eines Hashing- und eines Chiffrierschlüssels

• Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung

Freigeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Es besteht die Möglichkeit, dass Sie bei der Installation von Clients in Ihrem Netzwerk dieselben Sicherheits- und Konfigurationsdateien für mehrere Clients oder beispielsweise alle Clients eines Teilnetzes verwenden. Zur Freigabe dieser Dateien können Sie die Konfigurationsinformationen in den Verzeichnissen /etc/netboot/Netz-IP/Client-ID, /etc/netboot/Netz-IP und /etc/netboot bereitstellen. Das Programm wanboot-cgi durchsucht diese Verzeichnisse nach den Konfigurationsinformationen, die am besten auf den jeweiligen Client zutreffen, und verwendet diese Informationen für die Installation.

Das Programm wanboot—cgi sucht in dieser Reihenfolge nach Client-Informationen:

1. /etc/netboot/Netz-IP/Client-ID – Zuerst sucht das Programm wanboot-cgi nach Client-spezifischen Konfigurationsinformationen. Wenn das Verzeichnis /etc/netboot/Netz-IP/Client-ID alle Client-Konfigurationsinformationen enthält, sucht das Programm wanboot-cgi an keiner weiteren Stelle im Verzeichnis /etc/netboot nach Konfigurationsinformationen.

2. /etc/netboot/Netz-IP – Wenn nicht alle erforderlichen Informationen im Verzeichnis /etc/netboot/Netz-IP/Client-ID gefunden werden können, sucht das Programm wanboot-cgi anschließend im Verzeichnis /etc/netboot/Netz-IP nach Teilnetz-Konfigurationsinformationen.

3. /etc/netboot – Wenn die noch ausstehenden Angaben nicht im Verzeichnis /etc/netboot/Netz-IP zu finden sind, sucht das Programm wanboot-cgi dann im Verzeichnis /etc/netboot nach globalen Konfigurationsinformationen.

Abbildung 42–2 zeigt, wie sich das Verzeichnis /etc/netboot für benutzerdefinierte WAN-Boot-Installationen einrichten lässt.

Abbildung 42–2 Beispiel für das Verzeichnis /etc/netboot

Das Layout des Verzeichnisses /etc/netboot in Abbildung 42–2 ermöglicht die folgenden WAN-Boot-Installationen.

• Wenn Sie Client 010003BA152A42 installieren, verwendet das Programm wanboot-cgi diese Dateien im Verzeichnis /etc/netboot/192.168.255.0/010003BA152A42:

  • system.conf

  • keystore

  • truststore

  • certstore

  Anschließend verwendet das Programm wanboot-cgi die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.255.0.

• Wenn Sie einen Client im Teilnetz 192.168.255.0 installieren, verwendet das Programm wanboot-cgi die Dateien wanboot.conf, keystore und truststore im Verzeichnis /etc/netboot/192.168.255.0. Anschließend verwendet das Programm wanboot-cgi die Datei system.conf im Verzeichnis /etc/netboot.

• Wenn Sie einen Client installieren, der sich außerhalb des Teilnetzes 192.168.255.0 befindet, verwendet das Programm wanboot-cgi die folgenden Dateien im Verzeichnis /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore