| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris 10 1/13 インストールガイド: ネットワークベースのインストール Oracle Solaris 10 1/13 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris 10 1/13 インストールガイド: ネットワークベースのインストール Oracle Solaris 10 1/13 Information Library (日本語) |
1. Oracle Solaris インストールの計画についての参照先
5. DVD メディアを使用したネットワークインストール (タスク)
6. CD メディアを使用したネットワークインストール (タスク)
9. ネットワークからのインストール (コマンドリファレンス)
ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存
/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存
/etc/netboot ディレクトリにおけるセキュリティー情報と構成情報の指定
13. SPARC: WAN ブートによるインストール (タスク)
14. SPARC: WAN ブートによるインストール (例)
このセクションでは、WAN ブートインストールを実行するためのシステム要件について説明します。
表 11-1 WAN ブートインストールを行うためのシステム要件
|
WAN ブートサーバーとインストールサーバーで使用する Web サーバーソフトウェアは、次の要件を満たす必要があります。
オペレーティングシステム要件 – WAN ブートでは、wanboot-cgi という CGI プログラムが、クライアントマシンが受け付ける特定のフォーマットにデータやファイルを変換します。これらのスクリプトを使用して WAN ブートインストールを実行するには、Solaris 9 12/03 OS またはその互換バージョンで Web サーバーソフトウェアを実行する必要があります。
ファイルサイズの制限 – Web サーバーソフトウェアによっては、HTTP を介して転送できるファイルサイズが制限される場合もあります。Web サーバーのドキュメントを参照して、フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
注 - flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていてもフラッシュアーカイブを作成できます。
詳細は、『Oracle Solaris 10 1/13 インストールガイド: フラッシュアーカイブ (作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
SSL サポート – WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアで SSL バージョン 3 がサポートされている必要があります。
WAN ブートに必要なサーバーの構成をカスタマイズすることで、ネットワークのニーズに対応できます。すべてのサーバーを単一のシステムに置くことも、複数のシステムに置くこともできます。
単一のサーバー – WAN ブートのデータとファイルを 1 台のシステムに集中化させたい場合は、すべてのサーバーを同じマシンで稼働させることができます。各種のサーバーを 1 台のシステムで管理できるほか、1 台のシステムを Web サーバーとして構成するだけで済みます。ただし、単一のサーバーでは、多数の WAN ブートインストールが同時に発生した場合に、必要なトラフィック量をサポートできないことがあります。
複数のサーバー – インストールデータとファイルをネットワーク上に分散させたい場合は、これらのサーバーを複数のマシンで稼働させることができます。たとえば、中心となる WAN ブートサーバーを 1 台設定し、複数のインストールサーバーを構成してフラッシュアーカイブをネットワーク上に分散できます。インストールサーバーとロギングサーバーを別々のマシンで稼働させる場合は、どちらのサーバーも Web サーバーとして構成する必要があります。
WAN ブートインストール時に、wanboot-cgi プログラムによって次のファイルが転送されます。
wanboot プログラム
WAN ブートミニルート
JumpStart ファイル
フラッシュアーカイブ
wanboot-cgi プログラムでこれらのファイルを転送できるようにするには、Web サーバーソフトウェアがアクセスできるディレクトリに、これらのファイルを保存する必要があります。たとえば、Web サーバーのドキュメントルートにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
ドキュメントルートは、Web サーバー上の主要なドキュメントディレクトリであり、クライアントに公開するファイルはここに保存します。Web サーバーソフトウェアを使って、このディレクトリの名前や構成を変更できます。Web サーバー上のドキュメントルートディレクトリを設定する方法については、Web サーバーのドキュメントを参照してください。
ドキュメントルートディレクトリにいくつかのサブディレクトリを作成して、それぞれ異なるインストールファイルと構成ファイルを保存することもできます。たとえば、インストール対象であるクライアントのグループごとに、固有のサブディレクトリを作成します。ネットワーク上にいくつかの異なるリリースの Oracle Solaris OS をインストールする場合は、リリースごとにサブディレクトリを作成できます。
次の図は、ドキュメントルートディレクトリの基本的な構造の例を示しています。この例で、WAN ブートサーバーとインストールサーバーは同じマシンに置かれています。このサーバーでは、Apache Web サーバーソフトウェアが実行されています。
図 11-1 ドキュメントルートディレクトリの構造の例
この例のドキュメントディレクトリは、次のような構造を使用しています。
/opt/apache/htdocs ディレクトリは、ドキュメントルートディレクトリです。
フラッシュ (flash) ディレクトリには、クライアントのインストールに必要な JumpStart ファイルと、サブディレクトリ archives が置かれています。archives ディレクトリには、Oracle Solaris 最新リリースのフラッシュアーカイブが置かれています。
注 - WAN ブートサーバーとインストールサーバーがそれぞれ別のシステムで稼働している場合は、flash ディレクトリをインストールサーバーに置くこともできます。WAN ブートサーバーがこれらのファイルやディレクトリにアクセスできることを確認してください。
ドキュメントルートディレクトリの作成方法については、Web サーバーのドキュメントを参照してください。インストールファイルの作成および保存の方法については、「JumpStart インストールファイルの作成」を参照してください。
/etc/netboot ディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。このセクションでは、WAN ブートインストールをカスタマイズするために /etc/netboot ディレクトリ内に作成できるファイルとディレクトリについて説明します。
インストール時に wanboot-cgi プログラムは、WAN ブートサーバーの /etc/netboot ディレクトリ内でクライアント情報を検索します。wanboot-cgi プログラムは、この情報を WAN ブートファイルシステムに変換してから、WAN ブートファイルシステムをクライアントに転送します。/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。
大域的な構成 – ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。
ネットワーク固有の構成 – 特定のサブネット上のクライアントだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリの命名規則は次のようにする必要があります。
/etc/netboot/net-IP
net-IP は、クライアントのサブネットの IP アドレスです。たとえば、192.168.255.0 という IP アドレスを持つサブネット上のすべてのシステムで構成ファイルを共有するには、/etc/netboot/192.168.255.0 というディレクトリを作成します。その後、このディレクトリに構成ファイルを保存します。
クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリの命名規則は次のようにする必要があります。
/etc/netboot/net-IP/client-ID
net-IP はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。たとえば、サブネット 192.168.255.0 にあって 010003BA152A42 というクライアント ID を持つシステムで、特定の構成ファイルを使用するには、/etc/netboot/192.168.255.0/010003BA152A42 というディレクトリを作成します。その後、該当するファイルをこのディレクトリに保存します。
次のファイルを作成して /etc/netboot ディレクトリに保存することで、セキュリティー情報と構成情報を指定します。
システム構成ファイル ( system.conf) – このシステム構成ファイルは、クライアントの sysidcfg ファイルおよび JumpStart ファイルの場所を指定します。
keystore – このファイルには、クライアントの HMAC SHA1 ハッシュキー、3DES または AES 暗号化鍵、および SSL 非公開鍵が保存されます。
truststore – このファイルには、クライアントが信頼すべき、認証局のデジタル証明書が保存されます。これら信頼できる証明書に従って、クライアントはインストール時にサーバーを信頼します。
certstore – このファイルには、クライアントのデジタル証明書が保存されます。
注 - certstore ファイルは、クライアント ID のディレクトリに置く必要があります。/etc/netboot ディレクトリのサブディレクトリに関する詳細は、「WAN ブートインストールの適用範囲のカスタマイズ」を参照してください。
これらのファイルの作成方法と保存方法については、次の手順を参照してください。
ネットワーク上のクライアントに対してインストールを行うとき、いくつかのクライアントで、あるいはすべてのサブネットで、セキュリティーファイルと構成ファイルを共有することもできます。これらのファイルを共有するには、/etc/netboot/net-IP/client-ID、/etc/netboot/net-IP、および /etc/netboot の各ディレクトリに構成情報を置きます。インストール時に、wanboot-cgi プログラムはこれらのディレクトリから構成情報を検索し、クライアントに最もよく適合する構成情報を使用します。
wanboot-cgi プログラムは、次の順序でクライアント情報を検索します。
/etc/netboot/net-IP/client-ID – wanboot-cgi プログラムはまず、クライアントマシンに固有の構成情報を検索します。/etc/netboot/net-IP/client-ID ディレクトリにすべてのクライアント構成情報が揃っている場合、wanboot-cgi プログラムが /etc/netboot ディレクトリのほかの場所の構成情報を検索することはありません。
/etc/netboot/net-IP – 必要な情報が /etc/netboot/net-IP/client-ID ディレクトリに揃っていない場合、wanboot-cgi プログラムは /etc/netboot/net-IP ディレクトリでサブネット構成情報を検索します。
/etc/netboot – 必要な情報が /etc/netboot/net-IP ディレクトリにも見つからない場合、wanboot-cgi プログラムは /etc/netboot ディレクトリで大域的な構成情報を検索します。
次の図は、/etc/netboot ディレクトリを設定して WAN ブートインストールをカスタマイズする方法を示しています。
図 11-2 /etc/netboot ディレクトリの例
この図の /etc/netboot ディレクトリレイアウトでは、次のような WAN ブートインストールを実行できます。
クライアント 010003BA152A42 に対してインストールを行うときは、/etc/netboot/192.168.255.0/010003BA152A42 ディレクトリにある次のファイルが wanboot-cgi プログラムによって使用されます。
system.conf
keystore
truststore
certstore
次に、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上のクライアントに対してインストールを行うときは、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf、keystore、および truststore の各ファイルが、wanboot-cgi プログラムによって使用されます。次に、/etc/netboot ディレクトリにある system.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上にないクライアントマシンに対してインストールを行うときは、/etc/netboot ディレクトリにある次のファイルが、wanboot-cgi プログラムによって使用されます。
wanboot.conf
system.conf
keystore
truststore
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントにデータとファイルを転送します。このプログラムは、WAN ブートサーバー上でクライアントがアクセスできるディレクトリに置く必要があります。たとえば、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムを置くと、クライアントがこのプログラムにアクセスできるようになります。wanboot-cgi プログラムを CGI プログラムとして使用するように Web サーバーソフトウェアを構成する必要がある場合もあります。CGI プログラムの要件については、Web サーバーのドキュメントを参照してください。
WAN ブートインストールのセキュリティーを高めるには、デジタル証明書を使ってサーバーとクライアントの認証を有効にします。WAN ブートでは、オンライントランザクションの間に、デジタル証明書を使ってサーバーまたはクライアントの識別情報が確立されます。デジタル証明書は認証局 (CA) によって発行されます。これらの証明書には、シリアル番号、有効期限、証明書所有者の公開鍵のコピー、および認証局のデジタル署名が含まれています。
サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に認証を行うには、サーバーにデジタル証明書をインストールする必要があります。デジタル証明書を使用するときは、次のガイドラインに従ってください。
デジタル証明書を使用する場合、デジタル証明書は PKCS#12 (Public-Key Cryptography Standards #12) ファイルの一部としてフォーマットされている必要があります。
独自の証明書を作成する場合は、PKCS#12 ファイルとして作成する必要があります。
第三者機関である認証局から証明書を取得する場合は、PKCS#12 フォーマットの証明書を依頼します。
WAN ブートインストールで PKCS#12 証明書を使用する方法については、「サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
|