Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'installation d'Oracle Solaris 10 1/13 : installations basées sur réseau Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Planification de l'installation sur le réseau
1. Emplacement des informations de planification pour l'installation d'Oracle Solaris
2. Préconfiguration des informations de configuration système - Tâches
3. Préconfiguration avec service de noms ou DHCP
Partie II Installation sur un réseau LAN
4. Installation réseau - Présentation
5. Installation à partir du réseau à l'aide du DVD - Tâches
6. Installation à partir du réseau à l'aide du CD - Tâches
7. Application d'un patch à l'image miniroot (Tâches)
8. Installation réseau - Exemples
9. Installation réseau - Références des commandes
Partie III Installation sur un réseau WAN
10. Initialisation via connexion WAN (Présentation)
11. Préparation de l'installation et Initialisation via connexion WAN - Planification
12. Installation à l'aide de l'Initialisation via connexion WAN - Tâches
Installation sur un réseau étendu - Liste des tâches
Configuration du serveur d'initialisation via connexion WAN
Création du répertoire root de documents
Création du miniroot de l'initialisation via connexion WAN
SPARC : Création d'un miniroot de l'initialisation via connexion WAN
Vérification de la prise en charge de l'initialisation via connexion WAN sur le client
Vérification de la prise en charge de l'initialisation via connexion WAN sur l'OBP client
Installation du programme wanboot sur le serveur d'initialisation via connexion WAN
SPARC : Installation du programme wanboot sur le serveur d'initialisation via connexion WAN
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN
Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN
Copie du programme CGI WAN Boot sur le serveur d'initialisation via connexion WAN
Copie du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN
Configuration du serveur de journalisation d'initialisation via connexion WAN
Protection de données à l'aide d'HTTPS
Utilisation de certificats numériques pour l'authentification serveur et client
Création des fichiers d'installation JumpStart
Création du fichier rules JumpStart
Création de scripts de début et de fin
Création des fichiers de configuration
Création du fichier de configuration système
Création du fichier wanboot.conf
Accès à des informations de configuration à l'aide d'un serveur DHCP
13. SPARC : Installation et initialisation via connexion WAN - Tâches
14. SPARC : Installation et initialisation via connexion WAN - Exemples
15. Initialisation via connexion WAN - Référence
B. Procédure d'installation ou de mise à niveau distante - Tâches
Pour protéger vos données durant le transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec Secure Sockets Layer (HTTPS). Si vous souhaitez utiliser une configuration d'installation plus sécurisée (reportez-vous à la section Configuration d'une installation et d'une Initialisation via connexion WAN sécurisée), vous devez activer votre serveur Web pour pouvoir utiliser le protocole HTTPS.
Si vous ne souhaitez pas effectuer d'initialisation via connexion WAN sécurisée, ignorez les procédures de cette section. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart.
Pour ce faire, procédez comme indiqué ci-dessous.
Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.
Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour plus d'informations sur ces fonctions, reportez-vous à la documentation de votre serveur Web. Pour plus d'informations sur l'activation du protocole SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante : http://httpd.apache.org/docs-project/.
Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.
Pour plus d'informations sur l'utilisation des certificats numériques avec l'initialisation via connexion WAN, reportez-vous à la section Utilisation de certificats numériques pour l'authentification serveur et client.
Fournissez un certificat de confiance au client.
Pour plus d'informations sur la création d'un certificat de confiance, reportez-vous à la section Utilisation de certificats numériques pour l'authentification serveur et client.
Créez une clé de hachage et une clé de chiffrement.
Pour obtenir des instructions sur la création de clés, reportez-vous à la section Création d'une clé de hachage et d'une clé de chiffrement.
(Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.
Pour plus d'informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.
Cette section décrit les modalités d'utilisation des clés et des certificats numériques dans votre installation et initialisation via connexion WAN.
La méthode d'installation et d'initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation sur HTTPS avec authentification serveur ou authentification serveur et client. Pour connaître les conditions requises et les instructions relatives à l'utilisation des fichiers PKCS#12, reportez-vous à la section Exigences des certificats numériques.
Si vous ne souhaitez pas réaliser d'initialisation via connexion WAN sécurisée, passez directement à la section Création des fichiers d'installation JumpStart.
Avant de commencer
Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
Pour obtenir des informations générales sur la hiérarchie /etc/netboot , reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.
Pour obtenir des instructions à propos de la création de hiérarchie /etc/netboot , reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
Divise le fichier PKCS#12 en deux fichiers distincts (clé privée et certificat).
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat dans le fichier truststore du client. net-IP est l'adresse IP du sous-réseau du client. client-ID peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Insérez le certificat client dans le fichier certstore du client.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
Spécifie le nom du fichier PKCS#12 à diviser.
Insère le certificat client dans le fichier certstore du client. net-IP est l'adresse IP du sous-réseau du client. client-I peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.
Spécifie le nom du fichier de clé privée SSL du client à créer à partir du fichier PKCS#12 divisé.
Insérez la clé privée dans le fichier keystore du client.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
Insère une clé privée SSL dans le fichier keystore du client.
Spécifie le nom du fichier de clé privée du client créé à l'étape précédente.
Spécifie le chemin d'accès au fichier keystore du client.
Exemple 12-4 Création d'un certificat de confiance pour l'authentification serveur
Dans l'exemple suivant, vous utilisez un fichier PKCS#12 pour installer le client 010003ba152a42 sur le sous-réseau 192.168.198.0. Cette exemple de commande extrait un certificat à partir d'un fichier PKCS#12 nommé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.
Pour exécuter ces commandes, vous devez prendre le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Étapes suivantes
Une fois le certificat numérique créé, vous devez créer une clé de hachage et de chiffrement. Pour plus d'informations, reportez-vous à la section Création d'une clé de hachage et d'une clé de chiffrement.
Voir aussi
Pour plus d'informations sur la création des certificats de confiance, reportez-vous à la page de manuel wanbootutil(1M) .
Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot.
Si vous ne souhaitez pas réaliser d'initialisation via connexion WAN sécurisée, passez directement à la section Création des fichiers d'installation JumpStart.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1
Crée la clé de hachage du client à partir de la clé principale.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.
Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid avec l'option net, la clé est stockée dans le fichier /etc/netboot/ net-IP/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau net-IP.
Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.
La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de déchiffrer ces informations et de les utiliser au cours de l'installation.
Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Reportez-vous à la section Installation de clés sur le client.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type
Crée la clé de chiffrement du client.
Indique que la commande wanbootutil keygen fournit des options supplémentaires.
Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.
Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid avec l'option net, la clé est stockée dans le fichier /etc/netboot/ net-ip/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau net-ip.
Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. key-type peut prendre la valeur 3des ou aes.
Exemple 12-5 Création des clés nécessaire à une installation et initialisation via connexion WAN à travers HTTPS
L'exemple suivant crée une clé HMAC SHA1 principale pour le serveur d'initialisation via connexion WAN. Il crée également une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0.
Pour exécuter ces commandes, vous devez prendre le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Étapes suivantes
Une fois les clés de hachage et de chiffrement créées, vous devez créer les fichiers d'installation. Pour plus d'instructions, reportez-vous à la section Création des fichiers d'installation JumpStart.
Pour des instructions relatives à l'installation des clés sur le client, reportez-vous à la section Installation de clés sur le client.
Voir aussi
Pour obtenir des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la section Protection des données lors d'une installation et Initialisation via connexion WAN.
Pour plus d'informations sur la création des clés de hachage et de chiffrement, reportez-vous à la page de manuel wanbootutil(1M).