SPARC 検証済みブートプロパティーの構成
Oracle の一部の SPARC システムでは、検証済みブートを使用して、システムブートブロックや Oracle Solaris カーネルモジュールを、それらがシステムにロードされる前に検証できます。検証済みブートを有効にしたり、検証チェックが失敗したときのシステムの応答方法を指定したりするには、Oracle ILOM を使用します。検証済みブートを有効にすると、システムブートブロックへの有害な変更を防止したり、Oracle Solaris カーネルモジュールが影響を受けないようにしたりできます。Oracle ILOM でのこのポリシーの設定の詳細は、表 72 のプロパティーの説明を参照してください。
検証済みブート機能を使用するには、システムに Oracle Solaris 11.2 以降がインストールされている必要があります。
Oracle Solaris カーネルモジュールを検証するための証明書をアップロードする前に、次の要件が満たされていることを確認してください。
それらの証明書にネットワークまたはローカルファイルシステム経由でアクセスできること。
それらの証明書が X.509 標準に従った PEM 形式になっていること。
それらの証明書がパスフレーズで暗号化されていないこと。
表 72 検証済みブートプロパティー
|
|
|
|
|
Boot Policy
(boot_policy )
|
none
|
none |warning|enforce
-
none – システムはブートブロック、unix、または geunix の検証チェックを実行しません。
-
warning – 検証チェックが失敗すると、ホストコンソールに警告メッセージが記録され、ブートプロセスは続行されます。
-
検証チェックが失敗すると、ホストコンソールにエラーメッセージが記録され、ブートプロセスは中止されます。
「Boot Policy」の CLI 構文:
シングルホストサーバー:
set /Host/verified_boot boot_policy=none|warning|enforce
マルチドメインホストサーバー:
set /Servers/PDomains/PDomain_n/HOST/verified_boot boot_policy=none|warning|enforce
注 -
検証済みブートの「Boot Policy」が「Enforce」に設定され、かつ「use-nvramrc?」の非揮発性 RAM 構成変数が true に設定されている場合は、一部の SPARC プラットフォーム (SPARC T7 および M7 シリーズサーバーなど) で Solaris ブート操作が失敗することがあります。詳細は、『Oracle ILOM 機能更新およびリリースノート』の「3.2.5 既知の問題」のセクションを参照してください。
|
|
System Certificates
(/system_certs/1)
|
|
あらかじめインストールされている証明書ファイルの詳細 (ファイルの発行者やサブジェクトなど) は、system_certs/1 ターゲットを参照してください。
|
|
User Certificates
(/user_certs/n)
|
|
unix および geunix 以外の Solaris カーネルモジュールを検証するには、最大 5 つのカスタム証明書ファイルをロードします。ユーザーがロードした証明書ファイルの詳細 (ファイルの発行者やサブジェクトなど) は、user_certs/n ターゲットを参照してください。
ブート時にカスタム証明書をロードするための CLI 構文:
シングルホストサーバー:
set /Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI
マルチドメインホストサーバー:
set /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI
検証済みブートのカスタム証明書を削除するための CLI 構文:
シングルホストサーバー:
reset /Host/Verified_boot/user_certs/n
マルチドメインホストサーバー:
reset /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n ここで、n は削除する証明書ファイルの ID です。
|
|