Solaris 10 11/06 インストールガイド (ネットワークインストール)

クライアントに対するキーのインストール

より高いセキュリティーで保護された WAN ブートインストールを行う場合や、セキュリティー保護されていないインストールでデータの完全性をチェックする場合は、クライアントにキーをインストールする必要があります。ハッシュキーや暗号化鍵を使用すると、クライアントに転送されるデータを保護できます。これらのキーは、次の方法でインストールできます。

動作中のクライアントの OBP にキーをインストールすることもできます。動作中のクライアントにキーをインストールするには、そのシステムが Solaris 9 12/03 OS またはその互換バージョンで稼働していることが必要です。

クライアントにキーをインストールするときには、必ずセキュリティー保護された接続を使用して、キーの値を転送してください。キーの値の機密性を確保するために、サイトのセキュリティーポリシーに従ってください。

Procedureクライアントの OBP にキーをインストールする方法

クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定できます。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。

クライアントの OBP にキーをインストールするには、次の手順に従ってください。

OBP のネットワークブート引数にキーの値を割り当てるには、次の手順に従ってください。

  1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

  2. クライアントの各キーの値を表示します。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    クライアントのサブネットの IP アドレスを指定します。

    client-ID

    インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

    key-type

    クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3desaes、または sha1 です。

    キーの値が 16 進数で表示されます。

  3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

  4. クライアントシステムの実行レベルを 0 にします。


    # init 0
    

    ok プロンプトが表示されます。

  5. クライアントの ok プロンプトで、ハッシュキーの値を設定します。


    ok set-security-key wanboot-hmac-sha1 key-value
    
    set-security-key

    クライアントにキーをインストールします

    wanboot-hmac-sha1

    HMAC SHA1 ハッシュキーをインストールするよう OBP に指示します

    key-value

    手順 2 で表示された 16 進数の文字列を指定します。

    HMAC SHA1 ハッシュキーがクライアントの OBP にインストールされます。

  6. クライアントの ok プロンプトで、暗号化鍵をインストールします。


    ok set-security-key wanboot-3des key-value
    
    set-security-key

    クライアントにキーをインストールします

    wanboot-3des

    3DES 暗号化鍵をインストールするよう OBP に指示します。AES 暗号化鍵を使用する場合は、この値を wanboot-aes にしてください。

    key-value

    暗号化鍵を表す 16 進数の文字列を指定します。

    3DES 暗号化鍵がクライアントの OBP にインストールされます。

    キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。

  7. (省略可能) クライアントの OBP にキーが設定されていることを確認します。


    ok list-security-keys
    Security Keys:
             wanboot-hmac-sha1
             wanboot-3des
  8. (省略可能) キーを削除するには、次のコマンドを入力します。


    ok set-security-key key-type
    
    key-type

    削除するキーのタイプを指定します。指定できる値は、wanboot-hmac-sha1wanboot-3des、または wanboot-aes です。


例 12–2 クライアントの OBP に対するキーのインストール

次の例は、クライアントの OBP にハッシュキーと暗号化鍵をインストールする方法を示しています。

WAN ブートサーバー上でキーの値を表示します。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、wanboot-3deswanboot-aes に変更します。

クライアントシステムにキーをインストールします。


ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記のコマンドは、次の処理を実行します。


WAN ブートインストールの続行

クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

Procedure動作中のクライアントにハッシュキーと暗号化鍵をインストールする方法

wanboot プログラムの boot> プロンプトで、動作中のシステムにキーの値を設定できます。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。

動作中のクライアントの OBP にハッシュキーと暗号化鍵をインストールするには、次の手順に従ってください。

始める前に

この手順では、次のように仮定します。

  1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

  2. クライアントの各キーの値を表示します。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    クライアントのサブネットの IP アドレスを指定します。

    client-ID

    インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

    key-type

    クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3desaes、または sha1 です。

    キーの値が 16 進数で表示されます。

  3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

  4. クライアントマシン上で、スーパーユーザー、またはそれと同等の役割になります。

  5. 動作中のクライアントマシンに、必要なキーをインストールします。


    # /usr/lib/inet/wanboot/ickey -o type=key-type
    > key-value
    
    key-type

    クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3desaes、または sha1 です。

    key-value

    手順 2 で表示された 16 進数の文字列を指定します。

  6. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

    キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。


例 12–3 動作中のクライアントシステムの OBP に対するキーのインストール

次の例は、動作中のクライアントの OBP にキーをインストールする方法を示しています。

WAN ブートサーバー上でキーの値を表示します。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3destype=aes に変更します。

動作中のクライアントの OBP にキーをインストールします。


# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記のコマンドは、次の処理を実行します。


WAN ブートインストールの続行

クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

動作中のシステムにキーをインストールする方法については、ickey(1M) のマニュアルページを参照してください。