Chapitre 41 Initialisation via connexion WAN - Présentation

Ce chapitre propose une vue d'ensemble de la méthode d'installation et initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :

• Qu'est-ce que l'Initialisation via connexion WAN ?

• Quand utiliser l'Initialisation via connexion WAN ?

• Fonctionnement de l'Initialisation via connexion WAN - Présentation

• Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation

Qu'est-ce que l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'initialiser et d'installer un logiciel via un réseau étendu à l'aide du protocole HTTP. Grâce à cette méthode, vous pouvez installer l'environnement d'exploitation Solaris sur des systèmes SPARC via un réseau public important dont l'infrastructure risquerait de ne pas être sûre. Vous pouvez combiner l'initialisation via connexion WAN avec des fonctions de sécurité afin de préserver la confidentialité des données et l'intégrité de l'image d'installation.

La méthode d'installation et d'initialisation via connexion WAN vous permet de transmettre une archive Solaris Flash cryptée via un réseau public à un client SPARC distant. Les programmes d'initialisation via connexion WAN installent alors le système client par l'intermédiaire d'une installation JumpStart personnalisée. Pour protéger l'ensemble de l'installation, vous pouvez utiliser des clés privées afin d'authentifier et de crypter les données. Vous pouvez également transmettre les données d'installation et les fichiers via une connexion HTTP sécurisée en configurant vos systèmes pour l'utilisation de certificats numériques.

Pour effectuer une installation et initialisation via connexion WAN, installez un système SPARC en téléchargeant les informations présentées ci-après à partir d'un serveur Web via une connexion HTTP ou HTTP sécurisée.

• Programme wanboot : le programme wanboot est le programme d'initialisation de second niveau chargeant la miniracine, les fichiers de configuration client et les fichiers d'installation de l'initialisation via connexion WAN. Le programme wanboot effectue des tâches similaires à celles des programmes d'initialisation de second niveau ufsboot ou inetboot.

• Système de fichiers d'initialisation via connexion WAN : l'initialisation via connexion WAN utilise plusieurs fichiers différents pour configurer le client et extraire les données pour installer le système client. Ces fichiers se trouvent dans le répertoire /etc/netboot du serveur Web. Le programme wanboot-cgi transmet ces fichiers au client sous la forme d'un système de fichiers, appelé système de fichiers d'initialisation via connexion WAN.

• Miniracine de l'initialisation via connexion WAN : la miniracine de l'initialisation via connexion WAN est une version de la miniracine de Solaris modifiée pour effectuer une installation et initialisation via connexion WAN. Comme la miniracine de Solaris, elle contient un noyau et juste assez de logiciel pour installer l'environnement Solaris. La miniracine de l'initialisation via connexion WAN contient un sous-ensemble des logiciels de la miniracine de Solaris.

• Fichiers de configuration JumpStart personnalisée : pour installer le système, l'initialisation via connexion WAN transmet au client sysidcfg, rules.ok, ainsi que les fichiers de profils. L'initialisation via connexion WAN utilise ensuite ces fichiers pour effectuer une installation JumpStart personnalisée sur le système client.

• Archive Solaris Flash : ensemble de fichiers copié à partir d'un système maître. Vous pouvez utiliser cette archive pour installer un système client. L'initialisation via connexion WAN utilise la méthode d'installation JumpStart personnalisée pour installer une archive Solaris Flash sur le système client. Après l'installation d'une archive sur un système client, ce système adopte la configuration exacte du système maître.

Vous installez ensuite l'archive sur le système client à l'aide de la méthode d'installation JumpStart personnalisée.

Vous pouvez protéger le transfert des informations précédemment répertoriées grâce à des clés et des certificats numériques.

Pour une description plus approfondie du déroulement des événements lors d'une installation et initialisation via connexion WAN, reportez-vous à la rubrique Fonctionnement de l'Initialisation via connexion WAN - Présentation.

Quand utiliser l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'installer des systèmes SPARC éloignés géographiquement. Vous pouvez souhaiter utiliser l'initialisation via connexion WAN pour installer des serveurs ou clients distants accessibles uniquement via un réseau public.

Si vous souhaitez installer des systèmes situés sur votre réseau local, la méthode d'installation et initialisation via connexion WAN peut requérir une configuration et une administration plus importantes que d'ordinaire. Pour de plus amples informations sur l'installation des systèmes via connexion LAN, reportez-vous au Chapitre 12.

Fonctionnement de l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN utilise un ensemble de serveurs, de fichiers de configuration, de programmes CGI (Common Gateway Interface) et de fichiers d'installation pour installer un client SPARC distant. Cette rubrique décrit le déroulement général des événements lors d'une installation et initialisation via connexion WAN.

Déroulement des événements lors d'une installation et Initialisation via connexion WAN

La Figure 41–1 représente la séquence d'événements de base d'une installation initialisation via connexion WAN. Elle présente l'extraction des données de configuration et des fichiers d'installation par un client SPARC à partir d'un serveur Web et d'un serveur d'installation via connexion WAN.

Figure 41–1 Déroulement des événements lors d'une installation et initialisation via connexion WAN

1. Vous pouvez initialiser le client de l'une des manières suivantes :

   • Initialiser à partir du réseau en définissant des variables d'interface réseau dans l'OBP (PROM Open Boot) ;

   • Initialiser à partir du réseau avec l'option DHCP ;

   • Initialiser à partir d'un CD-ROM local.

2. Le client OBP obtient des informations de configuration à partir d'une des sources suivantes :

   • des valeurs de l'argument d'initialisation entrées dans la ligne de commande par l'utilisateur ;

   • du serveur DHCP, si le réseau utilise le DHCP.

3. Le client OBP requiert le programme d'initialisation de second niveau de l'initialisation via connexion WAN (wanboot).

   Le client OBP télécharge le programme wanboot à partir des sources suivantes :

   • un serveur Web particulier, appelé serveur d'initialisation via connexion WAN, à l'aide du protocole HTTP ;

   • un CD-ROM local (non indiqué sur la figure).

4. Le programme wanboot demande les informations de configuration client au serveur d'initialisation via connexion WAN.

5. Il télécharge les fichiers de configuration transmis par le programme wanboot-cgi à partir du serveur d'initialisation via connexion WAN. Ces fichiers sont transmis au client sous la forme d'un système de fichiers d'initialisation via connexion WAN.

6. Le programme wanboot demande le téléchargement de la miniracine de l'initialisation via connexion WAN au serveur d'initialisation via connexion WAN.

7. Il la télécharge à partir du serveur d'initialisation via connexion WAN à l'aide du protocole HTTP ou HTTP sécurisé.

8. Il charge et exécute le noyau UNIX à partir de la miniracine de l'initialisation via connexion WAN.

9. Le noyau UNIX place et monte le système de fichiers d'initialisation via connexion WAN destiné à être utilisé par le programme d'installation de Solaris.

10. Le programme d'installation demande le téléchargement d'une archive Solaris Flash et de fichiers JumpStart personnalisés à un serveur d'installation.

    Il télécharge l'archive et les fichiers JumpStart personnalisés via connexion HTTP ou HTTPS.

11. Il effectue une installation JumpStart personnalisée pour installer l'archive Solaris Flash sur le client.

Protection des données lors d'une installation et Initialisation via connexion WAN

La méthode d'installation et initialisation via connexion WAN vous permet d'utiliser des clés de hachage, des clés de chiffrement et des certificats numériques pour protéger vos données système lors de l'installation. Cette rubrique décrit brièvement les différentes méthodes de protection des données prises en charge par la méthode d'installation et initialisation via connexion WAN.

Vérification de l'intégrité des données à l'aide d'une clé de hachage

Pour protéger les données transmises au client à partir du serveur d'initialisation via connexion WAN, vous pouvez générer une clé HMAC (Hashed Message Authentication Code). Vous installez cette clé de hachage à la fois sur le serveur d'initialisation via connexion WAN et sur le client. Le serveur d'initialisation via connexion WAN utilise cette clé pour signer les données à transmettre au client. Le client l'utilise alors pour vérifier l'intégrité des données transmises par le serveur d'initialisation via connexion WAN. Après l'installation d'une clé de hachage sur un client, celui-ci l'utilise pour les prochaines installations et initialisations via connexion WAN.

Pour consulter des instructions concernant l'utilisation d'une clé de hachage, reportez-vous à la rubrique Création d'une clé de hachage et d'une clé de chiffrement.

Chiffrement de données à l'aide de clés de chiffrement

La méthode d'installation et initialisation via connexion WAN permet de chiffrer les données transmises à partir du serveur d'initialisation via connexion WAN vers le client. Vous pouvez utiliser les services de l'initialisation via connexion WAN pour créer une clé 3DES (Triple Data Encryption Standard) ou AES (Advanced Encryption Standard). Vous pouvez ensuite fournir cette clé au serveur d'initialisation via connexion WAN et au client. L'initialisation via connexion WAN utilise cette clé de chiffrement pour chiffrer les données envoyées au client à partir du serveur d'initialisation via connexion WAN. Le client peut alors utiliser cette clé pour déchiffrer les fichiers de configuration et les fichiers de sécurité chiffrés transmis lors de l'installation.

Après l'installation d'une clé de chiffrement sur un client, celui-ci l'utilise pour une prochaine installation et initialisation via connexion WAN.

Votre site ne permet peut-être pas l'utilisation de clés de chiffrement. Pour le savoir, adressez-vous à l'administrateur de la sécurité de votre site. Si votre site permet le chiffrement, demandez à l'administrateur de la sécurité quel type de clé de chiffrement vous devez utiliser : 3DES ou AES.

Pour consulter des instructions concernant l'utilisation de clés de chiffrement, reportez-vous à la rubrique Création d'une clé de hachage et d'une clé de chiffrement.

Protection de données à l'aide d'HTTPS

L'initialisation via connexion WAN prend en charge l'utilisation d'HTTP via SSL (HTTPS) pour le transfert de données entre le serveur d'initialisation via connexion WAN et le client. Quand vous utilisez HTTPS, vous pouvez demander au serveur, ou à la fois au serveur et au client, de s'authentifier lors de l'installation. HTTPS chiffre également les données transférées du serveur au client lors de l'installation.

HTTPS utilise des certificats numériques pour authentifier les systèmes échangeant des données sur le réseau. Un certificat numérique est un fichier identifiant un système, serveur ou client, comme un système sûr pour la communication en ligne. Vous pouvez demander un certificat numérique à une autorité de certification extérieure ou créer votre propre certificat et votre propre autorité de certification.

Pour permettre au client d'autoriser le serveur et d'en accepter les données, vous devez installer un certificat numérique sur le serveur. Vous donnez ensuite l'instruction au client d'autoriser ce certificat. Vous pouvez également demander au client de s'authentifier lui-même auprès des serveurs en lui fournissant un certificat numérique. Vous donnez alors l'instruction au serveur d'accepter le signataire du certificat lorsque le client le présente lors de l'installation.

Pour utiliser des certificats numériques lors de l'installation, vous devez configurer votre serveur Web afin qu'il utilise HTTPS. Consultez la documentation de votre serveur Web pour obtenir des informations concernant l'utilisation d'HTTPS.

Pour de plus amples informations sur les conditions requises pour l'utilisation de certificats numériques lors de votre installation et initialisation via connexion WAN, reportez-vous à la rubrique Exigences des certificats numériques. Pour consulter les instructions sur l'utilisation des certificats numériques dans votre installation et initialisation via connexion WAN, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.

Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN prend en charge différents niveaux de sécurité. Vous pouvez utiliser une combinaison des fonctions de sécurité prises en charge selon les besoins de votre réseau. Une configuration fortement sécurisée est plus lourde à administrer, mais les données de votre système sont mieux protégées. Pour les systèmes vitaux ou les systèmes destinés à être installés sur un réseau public, vous pouvez opter pour la configuration présentée à la rubrique Configuration d'une installation et Initialisation via connexion WAN sécurisée. Pour des systèmes moins importants ou des systèmes sur réseaux semi-privés, consultez la configuration décrite à la rubrique Configuration d'une installation et Initialisation via connexion WAN non sécurisée.

Cette rubrique décrit brièvement les différentes configurations possibles pour définir le niveau de sécurité de votre installation et initialisation via connexion WAN. Elle décrit également les mécanismes de sécurité requis par ces configurations.

Configuration d'une installation et Initialisation via connexion WAN sécurisée

Cette configuration protège l'intégrité des données échangées entre le serveur et le client, et permet de préserver la confidentialité du contenu de l'échange. Elle utilise une connexion HTTPS, ainsi que l'algorithme 3DES ou AES pour chiffrer les fichiers de configuration client. Elle requiert également l'authentification du serveur auprès du client lors de l'installation. Une installation et initialisation via connexion WAN sécurisée requiert les fonctions de sécurité suivantes :

• HTTPS sur le serveur d'initialisation via connexion WAN et le serveur d'installation ;

• clé de hachage HMAC SHA1 sur le serveur d'initialisation via connexion WAN et le client ;

• clé de chiffrement 3DES ou AES pour le serveur d'initialisation via connexion WAN et le client ;

• certificat numérique issu d'une autorité de certification pour le serveur d'initialisation via connexion WAN.

Si vous souhaitez requérir l'authentification du client lors de l'installation, vous devez également utiliser les fonctions de sécurité suivantes :

• clé privée pour le serveur d'initialisation via connexion WAN ;

• certificat numérique pour le client.

Pour obtenir une liste des tâches requises pour effectuer une installation à l'aide de cette configuration, reportez-vous au Tableau 43–1.

Configuration d'une installation et Initialisation via connexion WAN non sécurisée

Cette configuration de sécurité requiert un effort moindre au niveau de l'administration, mais fournit le transfert de données entre le serveur et le client le moins sécurisé. Vous n'avez pas besoin de créer de clé de hachage, de clé de chiffrement ni de certificat numérique. De même, vous n'avez pas besoin de configurer votre serveur Web pour qu'il utilise HTTPS. Cependant, cette configuration transfère les données et les fichiers d'installation via une connexion HTTP, ce qui rend votre installation vulnérable aux interceptions sur le réseau.

Si vous voulez que le client vérifie l'intégrité des données transmises, vous pouvez utiliser une clé de hachage HMAC SHA1 avec cette configuration. Cependant, l'archive Solaris Flash n'est pas protégée par la clé de hachage. Au cours de l'installation, l'archive est transférée de façon non sécurisée entre le serveur et le client.

Pour obtenir une liste des tâches requises pour effectuer une installation à l'aide de cette configuration, reportez-vous au Tableau 43–2.