test

Solaris 10 11/06 설치 설명서: 네트워크 기반 설치

Procedure(선택 사항) 해싱 키 및 암호 키 만들기

HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다.

wanbootutil keygen 명령을 사용하여 해당 키를 생성하고 이러한 키를 해당 /etc/netboot 디렉토리에 저장할 수 있습니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

해싱 키와 암호 키를 만들려면 다음과 같이 합니다.

  1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

  2. 마스터 HMAC SHA1 키를 만듭니다.


    # wanbootutil keygen -m
    keygen -m

    WAN 부트 서버용 마스터 HMAC SHA1 키를 만듭니다.

  3. 해당 마스터 키에서 클라이언트의 HMAC SHA1 해싱 키를 만듭니다.


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    -c

    해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.

    -o

    wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

    (선택 사항) net=net-ip

    클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

    (선택 사항) cid=client-ID

    클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

    type=sha1

    wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.

  4. 클라이언트에 대해 암호 키를 만들어야 할지 여부를 결정합니다.

    HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.

    • 서버 인증을 사용하여 HTTPS를 통한 보다 안전한 WAN 설치를 수행하고 있다면 계속하십시오.

    • wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 단계 6로 이동합니다.

  5. 클라이언트에 대한 암호 키를 만듭니다.


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    -c

    클라이언트의 암호 키를 만듭니다.

    -o

    wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

    (선택 사항) net=net-ip

    클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

    (선택 사항) cid=client-ID

    클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자가 정의한 ID이거나 DHCP 클라이언트 ID입니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

    type=key-type

    wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type3des 또는 aes 값일 수 있습니다.

  6. 클라이언트 시스템에 키를 설치합니다.

    클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

예 11–7 HTTPS를 통한 WAN 부트 설치 시 필요한 키 만들기

다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 이 예에서는 또한 서브넷 192.168.198.0에서 클라이언트 010003BA152A42에 대한 HMAC SHA1 해싱 키 및 3DES 암호 키를 만듭니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
WAN 부트 설치 계속

해싱 키 및 암호 키를 만든 후 설치 파일을 만들어야 합니다. 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

참조

해싱 키와 암호 키에 대한 개요 정보는 WAN 부트 설치 시 데이터 보호 를 참조하십시오.

해싱 키 및 암호 키를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.