Installation von Schlüsseln auf dem Client

Für eine sicherere WAN-Boot-Installation oder eine unsichere Installation mit Überprüfung der Datenintegrität müssen Schlüssel auf dem Client installiert werden. Die an den Client übertragenen Daten können mit einem Hashing-Schlüssel und einer Verschlüsselung (Chiffrierschlüssel) geschützt werden. Sie können diese Schlüssel mit den folgenden Methoden installieren:

• Setzen von OBP-Variablen – Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.

• Eingabe der Schlüsselwerte beim Booten – Sie können an der Eingabeaufforderung boot des wanboot-Programms Schlüsselwerte setzen. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.

Schlüssel können auch im OBP eines laufenden Clients installiert werden. Wenn Sie auf einem laufenden Client Schlüssel installieren möchten, muss auf dem System Solaris 9 12/03 oder eine kompatible Version ausgeführt werden.

Wenn Sie Schlüssel auf dem Client installieren, vergewissern Sie sich, dass die Schlüsselwerte nicht über eine unsichere Verbindung gesendet werden. Wenden Sie zur Geheimhaltung der Schlüsselwerte die an Ihrem Standort geltenden Sicherheitsrichtlinien an.

• Wie Sie den Variablen von OBP-Netzwerk-Boot-Argumenten Schlüsselwerte zuweisen, erfahren Sie in So installieren Sie Schlüssel im Client-OBP.

• Anweisungen zur Installation von Schlüsseln während des Bootens finden Sie in So nehmen Sie eine interaktive WAN-Boot-Installation vor.

• Anweisungen zur Installation von Schlüsseln im OBP eines laufenden Clients finden Sie in So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client.

So installieren Sie Schlüssel im Client-OBP

Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.

Führen Sie die nachfolgenden Schritte aus, um Schlüssel im Client-OBP zu installieren.

Gehen Sie wie folgt vor, wenn Sie Variablen für OBP-Netzwerk-Boot-Argumente Schlüsselwerte zuweisen möchten:

1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

2. Zeigen Sie für jeden Client den Schlüsselwert an.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   Netz-IP

   IP-Adresse des Teilnetzes, in dem sich der Client befindet.

   Client-ID

   ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

   Schlüsseltyp

   Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

   Es wird der Hexadezimalwert des Schlüssels angezeigt.

3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

4. Bringen Sie das Clientsystem auf Run-Level 0.

   # init 0

   Die Eingabeaufforderung ok wird angezeigt.

5. An der Eingabeaufforderung ok des Clients setzen Sie den Wert für den Hashing-Schlüssel.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   Installiert den Schlüssel auf dem Client.

   wanboot-hmac-sha1

   Weist das OBP an, einen HMAC SHA1-Hashing-Schlüssel zu installieren.

   Schlüsselwert

   Steht für den in Schritt 2 angezeigten Hexadezimalwert.

   Der HMAC SHA1-Hashing-Schlüssel wird im Client-OBP installiert.

6. Installieren Sie an der Eingabeaufforderung ok des Clients den Chiffrierschlüssel (die Verschlüsselung).

   ok set-security-key wanboot-3des key-value

   set-security-key

   Installiert den Schlüssel auf dem Client.

   wanboot-3des

   Weist das OBP an, eine 3DES-Verschlüsselung zu installieren. Wenn Sie stattdessen eine AES-Verschlüsselung verwenden möchten, setzen Sie diesen Wert auf wanboot-aes.

   Schlüsselwert

   Gibt den Hexadezimalwert an, der den Chiffrierschlüssel darstellt.

   Die 3DES-Verschlüsselung wird im Client-OBP installiert.

   Mit der Installation der Schlüssel sind die Vorbereitungen für die Einrichtung des Clients abgeschlossen. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.

7. (Optional) Vergewissern Sie sich, dass die Schlüssel im Client-OBP gesetzt sind.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Optional) Falls Sie einen Schlüssel löschen müssen, verwenden Sie dazu den folgenden Befehl:

   ok set-security-key key-type

   Schlüsseltyp

   Gibt den Schlüsseltyp an, der gelöscht werden soll. Verwenden Sie einen der Werte wanboot-hmac-sha1, wanboot-3des oder wanboot-aes.

Beispiel 13–2 Installation von Schlüsseln im Client-OBP

Das folgende Beispiel zeigt, wie ein Hashing- und ein Chiffrierschlüssel im Client-OBP installiert werden.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Kommt in Ihrer Installation eine AES-Verschlüsselung zum Einsatz, dann ändern Sie wanboot-3des in wanboot-aes ab, um den Schlüsselwert anzuzeigen.

Installieren Sie die Schlüssel auf dem Clientsystem.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Diese Befehle führen folgende Aktionen durch:

• Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client

• Installation des 3DES-Chiffrierschlüssels mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client

  Wenn in der Installation eine AES-Verschlüsselung verwendet wird, ändern Sie wanboot-3des in wanboot-aes ab.

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.

Siehe auch

Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).

So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client

Sie können Schlüsselwerte auf einem laufenden System an der Eingabeaufforderung boot> des wanboot-Programms eingeben. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.

Wenn Sie sowohl einen Hashing- als auch einen Chiffrierschlüssel im OBP eines laufenden Clients installieren möchten, gehen Sie nach dem folgenden Verfahren vor.

Bevor Sie beginnen

Dabei wird Folgendes vorausgesetzt:

• Das Clientsystem ist eingeschaltet.

• Der Client ist über eine sichere Verbindung wie z. B. eine Secure Shell (ssh) zugänglich.

1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

2. Zeigen Sie den Schlüsselwert für die Client-Schlüssel an.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   Netz-IP

   IP-Adresse des Teilnetzes, in dem sich der Client befindet.

   Client-ID

   ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

   Schlüsseltyp

   Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

   Es wird der Hexadezimalwert des Schlüssels angezeigt.

3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

4. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Client an.

5. Installieren Sie die erforderlichen Schlüssel auf dem laufenden Clientsystem.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   Schlüsseltyp

   Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

   Schlüsselwert

   Steht für den in Schritt 2 angezeigten Hexadezimalwert.

6. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

   Nach dem Installieren der Schlüssel können Sie den Client installieren. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.

Beispiel 13–3 Installation von Schlüsseln im OBP eines laufenden Clientsystems

Das folgende Beispiel zeigt, wie Schlüssel im OBP eines laufenden Clients installiert werden.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.

Installieren Sie die Schlüssel im OBP des laufenden Clients.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Diese Befehle führen folgende Aktionen durch:

• Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client

• Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client wanclient-1

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.

Siehe auch

Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).

Weitere Informationen zur Installation von Schlüsseln auf einem laufenden System finden Sie in ickey(1M).