ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 10 1/13 インストールガイド: ネットワークベースのインストール Oracle Solaris 10 1/13 Information Library (日本語) |
1. Oracle Solaris インストールの計画についての参照先
5. DVD メディアを使用したネットワークインストール (タスク)
6. CD メディアを使用したネットワークインストール (タスク)
9. ネットワークからのインストール (コマンドリファレンス)
WAN ブートサーバーへの wanboot プログラムのインストール
SPARC: WAN ブートサーバーに wanboot プログラムをインストールする方法
WAN ブートサーバーに /etc/netboot ディレクトリを作成する
WAN ブートサーバーに /etc/netboot ディレクトリを作成する方法
WAN ブートサーバーへの WAN ブート CGI プログラムのコピー
WAN ブートサーバーに wanboot-cgi プログラムをコピーする方法
13. SPARC: WAN ブートによるインストール (タスク)
14. SPARC: WAN ブートによるインストール (例)
WAN ブートサーバーからクライアントへの転送データを保護するには、HTTPS (Secure Sockets Layer を介した HTTP) を使用します。「セキュアな WAN ブートインストール構成」に説明されている、より高いセキュリティーで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。
セキュリティー保護された WAN ブートを実行しない場合は、このセクションの手順は省略してください。セキュアでないインストールの準備を続行するには、「JumpStart インストールファイルの作成」を参照してください。
WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次のタスクを実行します。
Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。
SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティー機能を有効にする方法については、このドキュメントでは説明していません。これらの機能については、Web サーバーのドキュメントを参照してください。Apache Web サーバーで SSL を有効にする方法については、http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。
WAN ブートサーバーにデジタル証明書をインストールします。
WAN ブートでデジタル証明書を使用する方法については、「サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
信頼できる証明書をクライアントに提供します。
信頼できる証明書の作成方法については、「サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
ハッシュキーと暗号化鍵を作成します。
鍵の作成方法については、「ハッシュ鍵と暗号化鍵を作成する方法」を参照してください。
(オプション) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。
クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのドキュメントを参照してください。
このセクションでは、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用する方法について説明します。
WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、「デジタル証明書の要件」を参照してください。
セキュアな WAN ブートを実行しない場合は、「JumpStart インストールファイルの作成」に進みます。
始める前に
PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。
/etc/netboot ディレクトリの概要については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
/etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
PKCS#12 ファイルを、非公開鍵のファイルと証明書のファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの truststore ファイルに証明書を挿入します。net-IP は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
クライアントの certstore にクライアントの証明書を挿入します。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
分割する PKCS#12 ファイルの名前を指定します。
クライアントの certstore にクライアントの証明書を挿入します。net-IP は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
クライアントの keystore に非公開鍵を挿入します。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
例 12-4 サーバー認証用の信頼できる証明書を作成する
次の例では、PKCS#12 ファイルを使用してサブネット 192.168.198.0 にあるクライアント 010003BA152A42 をインストールします。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。このコマンドは次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
次の手順
デジタル証明書を作成したあと、ハッシュキーと暗号化鍵を作成します。手順については、「ハッシュ鍵と暗号化鍵を作成する方法」を参照してください。
参照
信頼できる証明書の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。
HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半プライベートネットワーク経由でインストールを行う場合は、インストールデータの暗号化が望ましくないことがあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。
セキュアな WAN ブートを実行しない場合は、「JumpStart インストールファイルの作成」に進みます。
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1
クライアントのハッシュキーをマスターキーから作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、鍵は /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、鍵は /etc/netboot/net-IP/keystore ファイルに保存されます。この鍵は、net-IP サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティーに指示します。
HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。
wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。「クライアントに対するキーのインストール」を参照してください。
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type
クライアントの暗号化鍵を作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、鍵は /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティーに指示します。key-type には、3des または aes という値を指定できます。
例 12-5 HTTPS を介して WAN ブートインストールを実行するために必要なキーを作成する
次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。またこの例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
次の手順
ハッシュキーと暗号化鍵を作成したあと、インストールファイルを作成する必要があります。手順については、「JumpStart インストールファイルの作成」を参照してください。
クライアントに鍵をインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
参照
ハッシュ鍵と暗号化鍵の概要については、「WAN ブートインストール時のデータの保護」を参照してください。
ハッシュ鍵と暗号化鍵の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。