Ce chapitre décrit la préparation de votre réseau pour une installation et initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :
Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN
Limitations de sécurité de l'Initialisation via connexion WAN
Collecte d'informations pour les installations et initialisations via connexion WAN
Cette rubrique décrit la configuration minimale requise pour procéder à une installation initialisation via connexion WAN.
Tableau 42–1 Configuration minimale requise pour une installation et initialisation via connexion WAN
Système et description |
Configuration minimale requise |
---|---|
Serveur d'initialisation via connexion WAN : serveur Web fournissant le programme wanboot, les fichiers de configuration et de sécurité et la miniracine de l'initialisation via connexion WAN. |
|
Serveur d'installation : fournit l'archive Solaris Flash et les fichiers JumpStart personnalisés nécessaires à l'installation du client. |
Si le serveur d'installation est un système différent du serveur par initialisation via connexion WAN, le serveur d'installation doit en plus répondre aux exigences suivantes :
|
Système client : système distant que vous souhaitez installer sur un réseau étendu (WAN). |
|
(Facultatif) Serveur DHCP : vous pouvez utiliser un serveur DHCP pour les informations de configuration client. |
Si vous utilisez un serveur DHCP SunOS, il est nécessaire d'effectuer une des tâches suivantes :
Si le serveur DHCP est sur un autre sous-réseau que le client, il est nécessaire de configurer un agent de relais BOOTP. Pour de plus amples informations sur la configuration d'un agent de relais BOOTP reportez-vous à la rubrique “Configuring DHCP Service (Task)” in System Administration Guide: IP Services. |
(Facultatif) Serveur de journalisation : au cours d'une installation via connexion WAN, tous les messages journaux relatifs à l'initialisation et à l'installation sont par défaut affichés sur la console du client. Si vous souhaitez afficher ces messages sur un autre système, vous pouvez définir un système remplissant la fonction de serveur de journalisation. |
Il doit être configuré comme un serveur Web. Remarque : si vous utilisez l'HTTPS au cours de l'installation, le serveur de journalisation doit être sur le même système que le serveur de l'initialisation via connexion WAN. |
(Facultatif) Serveur Proxy : vous pouvez configurer la fonction d'initialisation via connexion WAN de sorte qu'elle utilise un proxy HTTP au cours du chargement des données et fichiers d'installation. |
Si l'installation utilise l'HTTPS, le serveur proxy doit être configuré pour gérer le protocole HTTPS. |
Le logiciel du serveur Web que vous utilisez sur le serveur de l'initialisation via connexion WAN et le serveur d'installation doivent répondre aux exigences suivantes :
Exigences relatives au système d'exploitation : l'initialisation via connexion WAN fournit un standard CGI (wanboot-cgi) convertissant les données et fichiers au format spécifique attendu par la machine client. Pour effectuer une installation et initialisation via connexion WAN avec ces scripts, le logiciel du serveur Web doit fonctionner sous l'environnement d'exploitation Solaris 9 12/03 ou une version compatible.
Limitation de la taille des fichiers : le logiciel du serveur Web peut limiter la taille des fichiers transmissibles via HTTP. Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.
Prise en charge du SSL : si vous souhaitez utiliser l'HTTPS pour votre installation et initialisation via connexion WAN, le logiciel du serveur Web doit prendre en charge la version 3 du SSL.
Vous pouvez personnaliser la configuration des serveurs nécessaires à l'installation et initialisation via connexion WAN en fonction des besoins de votre réseau. Vous pouvez héberger tous les serveurs sur un seul système ou les placer sur des systèmes différents.
Serveur unique : si vous souhaitez centraliser les données et fichiers d'initialisation via connexion WAN sur un seul système, vous pouvez héberger tous les serveurs sur la même machine. Vous pouvez administrer tous vos serveurs sur un seul système et seul un système doit être configuré comme serveur Web. Toutefois, un seul serveur pourrait ne pas être en mesure d'assurer le trafic d'un grand nombre d'installations et initialisations via connexion WAN réalisées simultanément.
Plusieurs serveurs : si vous souhaitez répartir les données et fichiers d'installation sur l'ensemble du réseau, vous pouvez héberger ces serveurs sur plusieurs machines. Vous pouvez configurer un serveur d'initialisation via connexion WAN central et configurer plusieurs serveurs d'installation pour héberger les archives Solaris Flash sur le réseau. Si le serveur d'installation et le serveur de journalisation sont hébergés sur des machines indépendantes, ils doivent être configurés comme serveurs Web.
Au cours d'une installation et initialisation via connexion WAN, le programme wanboot-cgi transmet les fichiers suivants :
programme wanboot ;
miniracine de l'initialisation via connexion WAN ;
fichiers JumpStart personnalisés ;
archive Solaris Flash.
Pour activer le programme wanboot-cgi pour la transmission de ces fichiers, ces derniers doivent être stockés dans un répertoire accessible au logiciel du serveur Web. Vous pouvez rendre ces fichiers accessibles en les plaçant dans le répertoire document racine de votre serveur Web.
Le répertoire document racine, ou répertoire de documents principal, est le répertoire de votre serveur Web dans lequel sont stockés les fichiers à rendre accessibles aux clients. Vous pouvez nommer et configurer ce répertoire dans le logiciel de votre serveur Web. Consultez la documentation de votre serveur Web pour de plus amples informations sur la définition du répertoire document racine sur votre serveur Web.
Plusieurs sous-répertoires peuvent être créés dans ce répertoire afin de stocker les différents fichiers d'installation et de configuration. Vous pouvez par exemple créer des sous-répertoires spécifiques pour chaque groupe de clients à installer. Si vous envisagez d'installer différentes versions de l'environnement d'exploitation Solaris sur votre réseau, un sous-répertoire peut être créé pour chaque version.
La Figure 42–1 illustre la structure de base d'un répertoire document racine. Dans cet exemple, le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur la même machine. Le serveur utilise le logiciel de serveur Web Apache.
Cet exemple de répertoire document utilise la structure suivante :
Le répertoire /opt/apache/htdocs est le répertoire document racine.
Le répertoire de la miniracine de l'initialisation via connexion WAN (miniroot) contient la miniracine de l'initialisation via connexion WAN.
Le répertoire Solaris Flash (flash) contient les fichiers JumpStart personnalisés nécessaires à l'installation du client et du sous-répertoire archives. Le répertoire archives contient l'archive Flash Solaris 9.
si le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur des systèmes différents, le répertoire flash peut être stocké sur le serveur d'installation. Assurez-vous alors que ces fichiers et répertoires sont accessibles au serveur d'initialisation via connexion WAN.
Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour des directives plus précises relatives à l'installation et au stockage de ces fichiers d'installation, reportez-vous à la rubrique Création des fichiers d'installation JumpStart personnalisés.
Le répertoire /etc/netboot contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification requis pour une installation et initialisation via connexion WAN. Cette rubrique décrit les fichiers et répertoires que vous pouvez créer dans le répertoire /etc/netboot pour personnaliser l'installation et initialisation via connexion WAN.
Au cours de l'installation, le programme wanboot-cgi recherche les informations client dans le répertoire /etc/netboot du serveur d'initialisation via connexion WAN. Le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN, puis transmet ce dernier au client. Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.
Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients sur le réseau, stockez les fichiers à partager dans le répertoire /etc/netboot.
Configuration en fonction du réseau : si vous souhaitez que seules les machines d'un sous-réseau spécifique partagent les informations de configuration, stockez les fichiers de configuration à partager dans un sous-répertoire de /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/ip_réseau |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client. Si vous souhaitez par exemple que tous les systèmes du sous-réseau dont l'adresse IP est 192.168.255.0 partagent les mêmes fichiers de configuration, créez un répertoire /etc/netboot/192.168.255.0 pour y stocker les fichiers de configuration.
Configuration spécifique à un client : si vous souhaitez que le système de fichiers d'initialisation ne soit utilisé que par un client spécifique, stockez les fichiers du système de fichiers d'initialisation dans un sous-répertoire de /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :
/etc/netboot/ip_réseau/ID_client |
Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur. Si vous souhaitez par exemple qu'un système dont l'ID client est 010003BA152A42 sur le sous-réseau 192.168.255.0, utilise des fichiers de configuration spécifiques, créez un répertoire /etc/netboot/192.168.255.0/010003BA152A42 pour y stocker les fichiers appropriés.
Vous spécifiez les informations de sécurité et de configuration en créant les fichiers indiqués ci-dessous et en les stockant dans le répertoire /etc/netboot.
wanboot.conf : spécifie les informations de configuration client pour une installation et initialisation via connexion WAN.
Fichier de configuration système (system.conf) : spécifie l'emplacement du fichier sysidcfg et des fichiers JumpStart personnalisés du client.
keystore : contient la clé de hachage HMAC SHA1 du client, la clé de chiffrement 3DES ou AES et la clé privée SSL.
truststore : contient les certificats numériques délivrés par les autorités de certificat du client. Ces certificats de confiance donnent des instructions au client pour qu'il se fie au serveur au cours de l'installation.
certstore : contient le certificat numérique du client.
le fichier certstore doit être placé dans le répertoire de l'ID client. Reportez-vous à la rubrique Personnalisation de l'installation et initialisation via connexion WAN pour de plus amples informations sur les sous-répertoires du répertoire /etc/netboot.
Pour des directives plus précises relatives à la création et au stockage de ces fichiers, reportez-vous aux procédures indiquées ci-dessous.
Lors de l'installation de clients sur votre réseau, vous pouvez choisir de partager les fichiers de configuration entre différents clients ou à travers des sous-réseaux complets. Vous pouvez partager ces fichiers en répartissant les informations de configuration dans les répertoires /etc/netboot/ip_réseau/ID_client, /etc/netboot/ip_réseau et /etc/netboot. Le programme wanboot-cgi recherche dans ces répertoires les informations de configuration convenant le mieux au client et les utilise au moment de l'installation.
Le programme wanboot—cgi recherche les informations du client dans l'ordre indiqué ci-dessous.
/etc/netboot/ip_réseau/ID_client : le programme wanboot-cgi vérifie d'abord les informations de configuration spécifiques à la machine du client. Si le répertoire /etc/netboot/ip_réseau/ID_client contient toutes les informations de configuration du client, le programme wanboot-cgi ne vérifie pas les informations de configuration ailleurs.
/etc/netboot/ip_réseau : si toutes les informations requises ne figurent pas dans le répertoire /etc/netboot/ip_réseau/ID_client, le programme wanboot-cgi vérifie les informations de configuration du sous-réseau dans le répertoire /etc/netboot/ip_réseau.
/etc/netboot : si les informations restantes ne figurent pas dans le programme/etc/netboot/ip_réseau le programme wanboot-cgi vérifie ensuite les informations de configuration globales dans le répertoire /etc/netboot.
La Figure 42–2 montre comment définir le répertoire /etc/netboot pour personnaliser une installation et initialisation via connexion WAN.
L'agencement du répertoire /etc/netboot de la Figure 42–2 vous permet d'exécuter les installations et initialisations via connexion WAN indiquées ci-dessous.
Lorsque vous installez le client 010003BA152A42, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot/192.168.255.0/010003BA152A42 :
system.conf ;
keystore ;
truststore ;
certstore.
Le programme wanboot-cgi utilise ensuite le fichier wanboot.conf du répertoire /etc/netboot/192.168.255.0.
Lorsque vous installez un client situé sur le sous-réseau 192.168.255.0, le programme wanboot-cgi utilise les fichiers wanboot.conf, keystore et truststore du répertoire /etc/netboot/192.168.255.0. Le programme wanboot-cgi utilise ensuite le fichier system.conf du répertoire /etc/netboot.
Lorsque vous installez la machine d'un client ne figurant pas sur le sous-réseau 92.168.255.0, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot :
wanboot.conf ;
system.conf ;
keystore ;
truststore.
Le programme wanboot-cgi transmet les données et les fichiers du serveur d'initialisation via connexion WAN au client. Vous devez vous assurer que ce programme se trouve dans un répertoire du serveur d'initialisation via connexion WAN accessible au client. Pour le rendre accessible, vous pouvez le stocker dans le répertoire cgi-bin de ce serveur. Vous pouvez avoir à configurer le logiciel du serveur Web pour qu'il utilise le programme wanboot-cgi comme un programme CGI. Reportez-vous à la documentation du serveur Web pour de plus amples informations sur les caractéristiques du programme CGI.
Si vous souhaitez sécuriser vos installations et initialisations via connexion WAN, vous pouvez utiliser des certificats numériques permettant d'authentifier le serveur et le client. L'initialisation via connexion WAN peut utiliser un certificat numérique pour établir l'identité du serveur ou du client au cours d'une transaction en ligne. Les certificats numériques sont délivrés par une autorité de certification (CA). Ces certificats contiennent un numéro de série, des dates d'expiration, une copie de la clé publique du détenteur du certificat et la signature numérique de l'autorité de certification.
Si vous souhaitez demander l'authentification du serveur ou du client et du serveur au cours de l'installation, vous devez installer un certificat numérique sur le serveur. Si vous utilisez des certificats numériques, conformez-vous aux directives suivantes :
Un certificat numérique doit être au format de fichier PKCS#12 (Public-Key Cryptography Standards #12).
Si vous créez vos propres certificats, créez-les au format PKCS#12.
Si vous recevez vos certificats d'autorités de certification tierces, demandez à ce qu'ils soient au format PKCS#12.
Pour de plus amples informations sur l'utilisation des certificats PKCS#12 au cours de l'installation et initialisation via connexion WAN, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.
L'initialisation via connexion WAN offre différentes fonctions de sécurité, mais ne gère pas les problèmes potentiels d'insécurité indiqués ci-dessous.
Attaques par déni de service (DoS) : une attaque par déni de service peut revêtir des formes diverses ; son but est d'empêcher les utilisateurs d'accéder à un service spécifique. Elle peut saturer un réseau avec une grande quantité de données ou consommer des ressources de manière excessive. D'autres attaques par déni de service manipulent les données transmises entre les systèmes en transit. La méthode d'installation et initialisation via connexion WAN ne protège pas les serveurs ou les clients contre ces attaques.
Binaires altérés sur les serveurs : la méthode d'installation et initialisation via connexion WAN ne vérifie pas l'intégrité de sa miniracine d'initialisation ni de l'archive Solaris Flash avant d'effectuer l'installation. Avant d'effectuer votre installation, vérifiez l'intégrité des binaires Solaris auprès de la base de données Solaris Fingerprint à l'adresse http://sunsolve.sun.com.
Confidentialité de la clé de chiffrement et de la clé de hachage : si vous utilisez des clés de chiffrement ou une clé de hachage avec l'initialisation via connexion WAN, vous devez entrer la valeur de la clé sur la ligne de commande au cours de l'installation. Prenez toutes les précautions nécessaires pour que les valeurs de ces clés demeurent confidentielles.
Choix d'un service de noms sur le réseau : si vous utilisez un service de noms sur votre réseau, vérifiez l'intégrité de vos serveurs de noms avant de procéder à l'installation et initialisation via connexion WAN.
Avant de configurer votre réseau en vue d'une installation et initialisation via connexion WAN, vous devez rassembler une série d'informations. Vous pouvez noter ces informations au moment de la préparation de l'installation via connexion WAN.
Utilisez les fiches de travail suivantes pour enregistrer les informations d'installation pour votre réseau :
Tableau 42–2 Fiche de travail pour rassembler les informations serveurTableau 42–3 Fiche de travail pour rassembler les informations client
Information |
Notes |
---|---|
Adresse IP du sous-réseau du client |
|
Adresse IP du routeur du client |
|
Adresse IP du client |
|
Masque de sous-réseau du client |
|
Nom d'hôte du client |
|
Adresse MAC du client |
|