第 41章 WAN Boot (概述)

本章提供了 WAN Boot 安裝方法的概述。 本章描述以下主題：

• 何為 WAN Boot？

• 何時使用 WAN Boot

• WAN Boot 工作方式 (概述)

• WAN Boot 支援的安全配置 (概述)

何為 WAN Boot？

WAN Boot 安裝方法可讓您使用 HTTP，透過廣域網路 (WAN) 啟動和安裝軟體。 使用 WAN Boot ，您可以透過大型公用網路 (其網路架構可能是不可信賴的)，在基於 SPARC 的系統上安裝 Solaris 作業環境。 您可以將 WAN Boot 與安全功能結合使用來保護資料的私密性與安裝影像的完整性。

WAN Boot 安裝方法讓您可以透過公用網路，將加密的 Solaris Flash 歸檔檔案傳輸到遠端基於 SPARC 的用戶端。 然後，WAN Boot 程式將透過執行自訂 JumpStart 安裝來安裝用戶端系統。 為了保護安裝的完整性，您可以使用私密密鑰來認證和加密資料。 您也可以將系統配置為使用數位證書，從而透過安全的 HTTP 連接來傳輸安裝資料和檔案。

若要執行 WAN Boot 安裝，請透過 HTTP 或安全 HTTP 連接，從 Web 伺服器下載下列資訊，然後安裝基於 SPARC 的系統。

• wanboot 程式 – wanboot 程式為載入 WAN Boot miniroot、用戶端配置檔案以及安裝檔案的第二層啟動程式。 wanboot 程式執行的工作與 ufsboot 或 inetboot 第二層啟動程式執行的工作相似。

• WAN Boot 檔案系統 – WAN Boot 使用數個不同的檔案配置用戶端與擷取資料，以安裝用戶端系統。 這些檔案位於 Web 伺服器的 /etc/netboot 目錄中。 wanboot-cgi 程式將這些檔案作為檔案系統傳輸至用戶端，該檔案系統稱為 WAN Boot 檔案系統。

• WAN Boot miniroot – WAN Boot miniroot 是一個經過修改以執行 WAN Boot 安裝的 Solaris miniroot 版本。 與 Solaris miniroot 相同，WAN Boot miniroot 含有安裝 Solaris 環境所需的核心程式與足夠的軟體。 WAN Boot miniroot 含有 Solaris miniroot 中軟體的子集。

• 自訂 JumpStart 配置檔案 – 若要安裝系統， WAN Boot 需要將 sysidcfg、rules.ok 以及設定檔傳輸至用戶端。 然後，WAN Boot 會使用這些檔案在用戶端系統上執行自訂 JumpStart 安裝。

• Solaris Flash 歸檔檔案 – Solaris Flash 歸檔檔案是指從主系統中複製過來的檔案集合。 您可以隨後使用此歸檔檔案安裝用戶端系統。 WAN Boot 使用自訂 JumpStart 安裝方法在用戶端系統上安裝 Solaris Flash 歸檔檔案。 在某個用戶端系統上安裝完歸檔檔案之後，該系統會包含與主系統完全相同的配置。

然後，您可以使用自訂 JumpStart 安裝方法在用戶端上安裝歸檔檔案。

您可以使用密鑰與數位證書保護先前所列資訊的傳輸。

如需有關 WAN Boot 安裝中事件序列的更多詳細描述，請參閱WAN Boot 工作方式 (概述)。

何時使用 WAN Boot

WAN Boot 安裝方法可讓您安裝位於遠端地理區域內基於 SPARC 的系統。 您可能要使用 WAN Boot 來安裝僅可以透過公用網路存取的遠端伺服器或用戶端。

如果要安裝位於區域網路 (LAN) 中的系統，WAN Boot 安裝方法所需的配置與管理可能多於必要的配置與管理。 如需有關如何透過 LAN 安裝系統的資訊，請參閱第 12章, 準備從網路安裝 (主題)。

WAN Boot 工作方式 (概述)

WAN Boot 結合使用伺服器、配置檔案、共用閘道介面 (CGI) 程式以及安裝檔案來安裝基於 SPARC 的遠端用戶端。 本節描述了 WAN Boot 安裝中的一般事件序列。

WAN Boot 安裝中的事件序列

圖 41–1 顯示了 WAN Boot 安裝中基本的事件序列。 在此圖中，基於 SPARC 的用戶端透過 WAN 從 Web 伺服器和安裝伺服器擷取配置資料與安裝檔案。

圖 41–1 WAN Boot 安裝中的事件序列

1. 您可以使用下列方法之一啟動用戶端：

   • 透過在 Open Boot PROM (OBP) 中設定網路介面變數從網路啟動。

   • 使用 DHCP 選項從網路啟動。

   • 從本機 CD-ROM 啟動。

2. 用戶端 OBP 從下列來源之一取得配置資訊：

   • 使用者在指令行鍵入的啟動引數值

   • DHCP 伺服器 (如果網路使用 DHCP)

3. 用戶端 OBP 要求使用 WAN Boot 第二層啟動程式 (wanboot)。

   用戶端 OBP 從以下來源中下載 wanboot 程式：

   • 使用超文件傳輸協定 (HTTP)，從名為 WAN Boot 伺服器的特殊 Web 伺服器中下載

   • 從本機 CD-ROM (圖中未顯示) 下載

4. wanboot 程式要求使用 WAN Boot 伺服器中的用戶端配置資訊。

5. wanboot 程式從 WAN Boot 伺服器下載由 wanboot-cgi 程式傳輸的配置檔案。 配置檔案作為 WAN Boot 檔案系統傳輸至用戶端。

6. wanboot 程式要求從 WAN Boot 伺服器下載 WAN Boot miniroot。

7. wanboot 程式使用 HTTP 或安全 HTTP 從 WAN Boot 伺服器下載 WAN Boot miniroot。

8. wanboot 程式從 WAN Boot miniroot 載入 UNIX 核心程式並執行。

9. UNIX 核心程式尋找並裝載供 Solaris 安裝程式使用的 WAN Boot 檔案系統。

10. 安裝程式要求從安裝伺服器下載 Solaris Flash 歸檔檔案與自訂 JumpStart 檔案。

    安裝程式透過 HTTP 或 HTTPS 連接下載歸檔檔案與自訂 JumpStart 檔案。

11. 安裝程式執行自訂 JumpStart 安裝以於用戶端上安裝 Solaris Flash 歸檔檔案。

在 WAN Boot 安裝期間保護資料

WAN Boot 安裝方法可讓您在安裝期間使用隨機密鑰、加密密鑰以及數位證書保護系統資料。 本節簡要描述了 WAN Boot 安裝方法支援的各種資料保護方法。

使用隨機密鑰檢查資料完整性

若要保護從 WAN Boot 伺服器傳輸至用戶端的資料，您可以產生一個隨機訊息認證碼 (HMAC) 密鑰。 同時在 WAN Boot 伺服器與用戶端中安裝此隨機密鑰。 WAN Boot 伺服器使用此密鑰簽發要傳輸至用戶端的資料。 然後用戶端會使用此密鑰來確認 WAN Boot 伺服器所傳輸資料的完整性。 在用戶端上安裝完隨機密鑰之後，該用戶端便會使用此密鑰執行以後的 WAN Boot 安裝。

如需有關如何使用隨機密鑰的說明，請參閱建立隨機密鑰和加密密鑰 。

使用加密密鑰加密資料

WAN Boot 安裝方法可讓您加密從 WAN Boot 伺服器傳輸至用戶端的資料。 您可以使用 WAN Boot 公用程式建立符合三重資料加密標準 (3DES) 或進階加密標準 (AES) 的加密密鑰。 然後，可將此密鑰同時提供給 WAN Boot 伺服器與用戶端。 WAN Boot 使用此加密密鑰對從 WAN Boot 伺服器傳輸至用戶端的資料進行加密。 用戶端可以稍後使用此密鑰解密在安裝期間傳輸的加密配置檔案與安全檔案。

一旦在用戶端上安裝了加密密鑰之後，該用戶端便會使用此密鑰進行以後的 WAN Boot 安裝。

您的網站可能不允許使用加密密鑰。 若要確定您的網站是否允許使用加密，請諮詢網站安全性管理員。 如果您的網站允許使用加密，請向安全性管理員諮詢您應該使用哪種類型的加密密鑰 (3DES 還是 AES)。

如需有關如何使用加密密鑰的說明，請參閱建立隨機密鑰和加密密鑰 。

使用 HTTPS 保護資料

WAN Boot 支援藉由安全套接層使用 HTTP (HTTPS)，以便在 WAN Boot 伺服器與用戶端之間傳輸資料。 透過使用 HTTPS，您可以要求伺服器或同時要求伺服器與用戶端在安裝期間進行自我認證。 HTTPS 也會在安裝期間加密從伺服器傳輸至用戶端的資料。

HTTPS 使用數位證書認證透過網路交換資料的系統。 數位證書是一個在線上通訊期間，將伺服器或用戶端等系統識別為可信賴系統的檔案。 您可以從外部證書管理中心要求一個數位證書，或建立自己的證書與證書管理中心。

若要讓用戶端信賴伺服器並接受來自伺服器的資料，就必須在伺服器上安裝數位證書。 然後，請指示用戶端信賴此證書。 您也可以通過向用戶端提供數位證書來讓它向伺服器進行自我認證。 然後，當用戶端在安裝期間提供證書時，您便可指示伺服器接受證書的簽名者。

若要在安裝期間使用數位證書，則必須將 Web 伺服器配置為使用 HTTPS。 請參閱您的 Web 伺服器說明文件，以取得有關如何使用 HTTPS 的資訊。

如需有關在 WAN Boot 安裝期間使用數位證書的需求資訊，請參閱數位證書需求 。 如需有關如何在 WAN Boot 安裝中使用數位證書的說明，請參閱在伺服器和用戶端認證時使用數位證書 。

WAN Boot 支援的安全配置 (概述)

WAN Boot 支援各種安全層級。 您可以結合使用在 WAN Boot 中受支援的安全功能，以滿足網路的需要。 更安全的配置雖然需要更多的管理，但是也會顯著增加系統資料的安全性。 對於更重要的系統，或者那些要透過公用網路安裝的系統，您可以選擇安全 WAN Boot 安裝配置 中的配置。 對於次重要的系統，或半專用網路上的系統，請考量使用不安全 WAN Boot 安裝配置 中描述的配置。

本節簡要描述了您可以用來設定 WAN Boot 安裝之安全層級的各種配置。 同時還對這些配置所需的安全機制進行了描述。

安全 WAN Boot 安裝配置

此配置可保護伺服器與用戶端之間所交換資料的完整性，並可協助保持交換內容的機密性。 此配置使用 HTTPS 連接，並使用 3DES 或 AES 演算法對用戶端配置檔案進行加密。 此配置還要求伺服器在安裝期間向用戶端進行自我認證。 安全 WAN Boot 安裝需要以下安全功能：

• 在 WAN Boot 伺服器與安裝伺服器上啟用 HTTPS

• WAN Boot 伺服器與用戶端上具有 HMAC SHA1 隨機密鑰

• 具有用於 WAN Boot 伺服器與用戶端的 3DES 或 AES 加密密鑰

• 證書管理中心具有用於 WAN Boot 伺服器的數位證書

如果還想要求在安裝期間進行用戶端認證，則還必須使用以下安全功能：

• 具有用於 WAN Boot 伺服器的私密密鑰

• 具有用於用戶端的數位證書

如需透過此配置進行安裝時所需的工作清單，請參閱表 43–1。

不安全 WAN Boot 安裝配置

此安全配置所需的管理工作最少，但是當資料從 Web 伺服器傳輸至用戶端時，相應的安全性也最低。 您不需要建立隨機密鑰、加密密鑰或數位證書， 也不需要將您的 Web 伺服器配置為可使用 HTTPS。 但是，此配置會透過 HTTP 連接傳輸安裝資料與檔案，這樣極易使安裝在網路上被攔截。

如果要讓用戶端檢查所傳輸資料的完整性，您可以在此配置中使用 HMAC SHA1 隨機密鑰。 但是，隨機密鑰不保護 Solaris Flash 歸檔檔案。 在安裝期間，歸檔檔案會在伺服器與用戶端之間進行不安全的傳輸。

如需透過此配置進行安裝時所需的工作清單，請參閱表 43–2。