Instalando chaves no cliente

Para uma instalação de inicialização WAN segura ou uma instalação insegura com verificação da integridade de dados, é necessário instalar chaves no cliente. Ao utilizar uma chave de hashing e uma chave de criptografia, é possível proteger os dados transmitidos ao cliente. É possível instalar estas chaves das seguintes maneiras.

• Defina variáveis OBP - É possível atribuir valores de chave às variáveis do argumento de inicialização de rede OBP antes de inicializar o cliente. Estas chaves podem então ser utilizadas para instalações de inicialização futuras da WAN do cliente.

• Insira os valores chave durante o processo de inicialização - É possível definir valores de chave na solicitação wanboot programa boot>. Se utilizar este método para instalar chaves, as chaves serão utilizadas apenas para a instalação de inicialização WAN atual.

Também é possível instalar chaves no OBP de um cliente em execução. Se deseja instalar chaves em um cliente em execução, o sistema deve estar executando o Solaris 9 12/03 SO ou uma versão compatível.

Ao instalar chaves no cliente, assegure-se de que os valores de chave não sejam transmitidos através de uma conexão insegura. Siga a política de segurança do site para assegurar a privacidade dos valores de chave.

• Para instruções sobre como atribuir valores de chave para variáveis do argumento de inicialização de rede OBP, consulte Para instalar chaves no OBP de cliente.

• Para instruções sobre como instalar chaves durante o processo de inicialização, consulte Para efetuar uma instalação de inicialização interativa WAN.

• Para instruções sobre como instalar chaves no OBP de um cliente sendo executado, consulte Para instalar chaves de hashing e chaves de criptografia em um cliente sendo em execução.

Para instalar chaves no OBP de cliente

É possível atribuir valores de chave às variáveis do argumento de inicialização de rede OBP antes de inicializar o cliente. Estas chaves podem então ser utilizadas para instalações de inicialização futuras da WAN do cliente.

Para instalar chaves no OBP de cliente, siga as etapas a seguir.

Se deseja atribuir valores de chave às variáveis do argumento de inicialização de rede OBP, siga estas etapas.

1. Assuma a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para cada chave de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da subrede do cliente.

   client-ID

   A ID do cliente que deseja instalar. A ID do cliente pode ser definida pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

4. Traga o sistema de cliente para execução em nível 0.

   # init 0

   O prompt ok é exibido.

5. Na solicitação ok do cliente, defina o valor para cada chave de hashing.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   Instala a chave no cliente.

   wanboot-hmac-sha1

   Instrui o OBP a instalar uma chave de hashing HMAC SHA1

   key-value

   Especifica a sequência hexadecimal exibida na Etapa 2.

   A chave de hashing HMAC SHA1 é instalada no OBP de cliente.

6. Na solicitação ok do cliente, instale a chave de criptografia.

   ok set-security-key wanboot-3des key-value

   set-security-key

   Instala a chave no cliente.

   wanboot-3des

   Instrui o OBP a instalar uma chave de criptografia 3DES. Se deseja utilizar uma chave de criptografia AES, defina este valor para wanboot-aes.

   key-value

   Especifica a sequência hexadecimal que representa a chave de criptografia.

   A chave de criptografia 3DES é instalada no cliente OBP.

   Após instalar as chaves, estará tudo pronto para a instalação do cliente. Consulte Instalando o cliente para obter instruções sobre como instalar o sistema de cliente.

7. (Opcional) Verifique se as chaves estão definidas no OBP de cliente.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Opcional) Se for necessário excluir uma chave, digite o comando a seguir.

   ok set-security-key key-type

   key-type

   Especifica o tipo de chave que precisa ser excluída. Utilize o valor wanboot-hmac-sha1, wanboot-3des ou wanboot-aes.

Exemplo 13–2 Instalando chaves no OBP de cliente

O exemplo a seguir mostra como instalar chaves de hashing e chaves de criptografia no OBP de cliente.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere wanboot-3des para wanboot-aes a fim de exibir o valor da chave de criptografia.

Instale as chaves no sistema de cliente.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores executam as tarefas a seguir.

• Instala a chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Instala a chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

  Se utilizar uma chave de criptografia AES na instalação, altere wanboot-3des para wanboot-aes.

Continuando a instalação de inicialização WAN

Após instalar chaves no cliente, você estará pronto para instalar o cliente sobre a WAN. Para instruções, consulte Instalando o cliente.

Consulte também

Para mais informações sobre como exibir valores de chave, consulte a página do manual wanbootutil(1M).

Para instalar chaves de hashing e chaves de criptografia em um cliente sendo em execução

É possível definir valores no prompt wanboot do programa boot> em um sistema em execução. Se utilizar este método para instalar chaves, as chaves serão utilizadas apenas para a instalação de inicialização WAN atual.

Se deseja instalar uma chave de hashing e uma chave de criptografia no OBP de um cliente sendo executado, siga as estas etapas.

Antes de começar

Este procedimento pressupõe o seguinte.

• O sistema de cliente é ligado.

• O cliente é acessível através de uma conexão segura, como uma shell segura (ssh).

1. Assume a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para as chaves de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da subrede do cliente.

   client-ID

   A ID do cliente que deseja instalar. A ID do cliente pode ser definido pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

4. Torne-se superusuário ou assuma uma função equivalente na máquina de cliente.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para obter mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

5. Instale as chaves necessárias na máquina de cliente em execução.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   Especifica o tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   key-value

   Especifica a sequência hexadecimal exibida na Etapa 2.

6. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

   Depois de instalar as chaves, está tudo pronto para a instalação do cliente. Consulte Instalando o cliente para obter instruções sobre como instalar o sistema de cliente.

Exemplo 13–3 Instalando chaves no OBP de um sistema de cliente em execução

O exemplo a seguir mostra como instalar chaves no OBP de um cliente em execução.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere type=3des para type=aes a fim de exibir o valor da chave de criptografia.

Instale as chaves no OBP de um cliente em execução.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores executam as tarefas a seguir.

• Instala uma chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Instala uma chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

Continuando a instalação de inicialização WAN

Após instalar chaves no cliente, você estará pronto para instalar o cliente sobre a WAN. Para instruções, consulte Instalando o cliente.

Consulte também

Para mais informações sobre como exibir valores de chave, consulte a página do manual wanbootutil(1M).

Para obter informações adicionais sobre como instalar chaves em um sistema em execução, consulte ickey(1M).