WAN ブートでサポートされているセキュリティー構成 (概要)
WAN ブートでは、さまざまなレベルのセキュリティーがサポートされています。WAN ブートでサポートされているセキュリティー機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。高いセキュリティーを必要とするシステム、または公開ネットワーク経由でインストールを行うシステムには、「セキュリティー保護された WAN ブートインストール構成」で説明する構成を選択できます。それほどセキュリティーを必要としないシステム、または半私設のネットワーク上にあるシステムには、「セキュリティー保護されていない WAN ブートインストール構成」で説明する構成を検討してください。
ここでは、WAN ブートインストールのセキュリティーレベルを設定するための各種構成について簡単に説明します。また、これらの構成に必要なセキュリティーメカニズムについても説明します。
セキュリティー保護された WAN ブートインストール構成
この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュリティー保護された WAN ブートインストールを行うには、次のセキュリティー機能が必要です。
-
WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること
-
WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること
-
WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること
-
WAN ブートサーバーに関する認証局のデジタル証明書
インストール時にクライアントの認証も行う場合は、次のセキュリティー機能を使用する必要があります。
-
WAN ブートサーバーの非公開鍵
-
クライアントのデジタル証明書
この構成を使ってインストールを行うために必要な作業の一覧については、表 12–1 を参照してください。
セキュリティー保護されていない WAN ブートインストール構成
この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティーは最も低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。
転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュキーを使用します。ただし、Solaris フラッシュアーカイブはハッシュキーで保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティー保護されません。
この構成を使ってインストールを行うために必要な作業の一覧については、表 12–2 を参照してください。
- © 2010, Oracle Corporation and/or its affiliates