La sécurité du client AI offre les avantages suivants :
Le serveur AI peut vérifier l'identité des clients AI.
Les données sont chiffrées sur le réseau.
Pour les clients disposant d'informations d'identification personnalisées, tout fichier publié spécifique à un client n'est pas accessible à la lecture par tout autre client.
Seuls les clients authentifiés peuvent accéder au répertoire sécurisé spécifié par l'utilisateur décrit dans la section Configuration du répertoire des fichiers utilisateur du serveur Web
Vous pouvez générer ou spécifier les informations d'identification pour un client spécifique, pour les clients d'un service d'installation précis ou pour tout client ne disposant pas encore d'informations d'identification. Les clés OBP générées s'appliquent à l'authentification bidirectionnelle (client et serveur). Si vous assignez des informations d'identification de sécurité à un client SPARC, vous devez fournir les clés OBP lors de l'initialisation du client pour une installation AI. Reportez-vous à la section Installation d'un client SPARC à l'aide du téléchargement sécurisé..
Cet exemple indique les informations d'identification fournies par l'utilisateur. Si le client est un système SPARC, les clés OBP sont générées si elles n'existent pas déjà. Si les clés OBP sont générées, les commandes OBP permettant de définir ces clés sont affichées.
# installadm set-client -e 02:00:00:00:00:00 -C client.crt -K client.key -A cacert.pem
Reportez-vous aux commentaires sur l'utilisation des options –C, –K et –A dans la section Configuration des informations d'identification de sécurité. Si le certificat CA n'est pas spécifié, le certificat CA utilisé pour générer ces informations d'identification de client doivent être préalablement affectées.
Reportez-vous à la section Clé de sécurité OBP pour clients SPARC pour plus d'informations sur l'utilisation des options –E et –H.
Exemple 8-26 Informations d'identification pour les clients d'un service d'installation spécifiqueCet exemple fournit les informations d'identification pour tout client affecté au service d'installation solaris11_2-sparc et ne disposant pas encore d'informations d'identification.
# installadm set-service -g -n solaris11_2-sparc Generating credentials for service solaris11_2-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 34bc980ccc8dfee478f89b5acbdf51b4 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 b8a9f0b3472e8c3b29443daf7c9d448faad14fee
Etant donné que ce service d'installation est un service d'installation SPARC, les clés OBP sont également générées, et les commandes OBP permettant de définir ces clés sont affichées.
Les clients ensuite affectés au service d'installation solaris11_2-sparc utilisent également ces informations d'identification si ces clients n'ont pas d'informations d'identification assignées lors de la spécification de leur adresse MAC.
Cette option s'avère utile lorsque vous souhaitez un ensemble uniforme d'applications sur plusieurs clients. Toutefois, tous les clients de ce service d'installation dont les informations d'identification n'ont pas été assignées lors de la spécification de leurs adresses MAC, disposent d'informations d'identification et peuvent visualiser les données d'installation des uns et des autres.
Reportez-vous aux commentaires sur l'utilisation des options –C, –K et –A dans la section Configuration des informations d'identification de sécurité.
Reportez-vous à la section Clé de sécurité OBP pour clients SPARC pour plus d'informations sur l'utilisation des options –E et –H.
Exemple 8-27 Informations d'identification du client par défautCet exemple fournit un jeu d'informations d'identification par défaut pour tout client auquel aucune information d'identification n'a été affectée.
# installadm set-server -D -g Generating default client credentials... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 7cdbda5b8fc4b10ffbd29fa19d13af77 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 14effe2c515da4940ef1db165791e92790163004
Etant donné que certains clients risquent d'être des clients SPARC, les clés OBP sont également générées, et les commandes OBP permettant de définir ces clés sont affichées.
Une fois les informations d'identification de client par défaut assignées, tous les clients devraient procéder à une authentification client et serveur ; les clés de microprogramme seront requises pour tout client SPARC du serveur AI. De même, étant donné que plusieurs clients auront des informations d'identification identiques, ils seront en mesure de voir les données d'installation les uns des autres.
Reportez-vous aux commentaires sur l'utilisation des options –C, –K et –A dans la section Configuration des informations d'identification de sécurité.
Reportez-vous à la section Clé de sécurité OBP pour clients SPARC pour plus d'informations sur l'utilisation des options –E et –H.
Pour que les clients SPARC puissent bénéficier de fonctions de sécurité renforcées, vous devez définir des clés de sécurité OBP lorsque vous initialisez le client pour une installation AI.
Une clé de hachage (HMAC) et une clé de chiffrement sont automatiquement générées et affichées si elles n'existent pas déjà lorsque vous utilisez la commande installadm avec les sous-commandes set-server, set-service ou set-client pour générer ou spécifier des informations d'identification TLS. Ces clés de microprogramme ne sont pas automatiquement générées lorsque la même commande est répétée.
Vous pouvez utiliser les options –E et –H pour renouveler les clés OBP. N'indiquez pas les options –E ou –H avant que les clés OBP n'existent. La clé de chiffrement ou HMAC qui existe déjà n'est plus valide et remplacée. Utilisez l'option –E pour renouveler la clé de chiffrement. Utilisez l'option –H pour renouveler la clé de hachage. Vous pouvez spécifier les deux options –E et –H, uniquement l'option –E, ou uniquement l'option –H. Lorsque vous exécutez la commande, les clés OBP existantes ne sont plus valides et sont remplacées par les valeurs qui viennent d'être générées. Les commandes OBP permettant de définir ces clés sont affichées.
Pour afficher la commande OBP permettant de définir les clés de sécurité OBP ultérieurement, utilisez l'option –v avec la sous-commande list, comme illustré dans l'exemple suivant :
# installadm list -v -e mac-addr
Cette commande affiche les clés OBP correctes pour ce client, si les informations d'identification TLS ont été spécifiées à l'aide de l'adresse MAC du client en utilisant le nom du service d'installation, ou s'il s'agit des informations d'identification de client par défaut. La sortie à partir de la sous-commande listindique si les clés OBP client sont définis pour ce client spécifique, pour un service d'installation spécifié ou pour le client par défaut, comme illustré dans Example 8–41.
Cette section décrit les options que vous pouvez utiliser pour désactiver les exigences en matière de sécurité, sans supprimer la configuration de sécurité, puis de réactiver les exigences en matière de sécurité à l'aide des paramètres d'authentification de client et de serveur préalablement configurés.
La sécurité est activée par défaut. Lorsque la sécurité est désactivée, aucune information d'identification n'est émise aux clients et aucune information d'identification n'est requise des clients. Lorsque la sécurité est désactivée, aucune protection de réseau HTTPS n'est appliquée aux fichiers AI en service sur un client AI. Les fichiers sécurisés spécifiés par l'utilisateur desservis par le serveur Web AI (comme décrit dans la section Configuration du répertoire des fichiers utilisateur du serveur Web) sont inaccessibles lorsque la sécurité est désactivée.
Lorsque la sécurité est désactivée, vous pouvez continuer à configurer la sécurité. Toute modification prendra effet une fois la sécurité réactivée.
Utilisez la commande suivante pour désactiver la mise en application de la sécurité à l'échelle du serveur :
# installadm set-server -S Refreshing web server. Automated Installer security has been disabled.
Faites bien attention lors de la désactivation de la sécurité pour les systèmes ayant déjà installé des services d'installation configurés. Les données de service d'installation sécurisées ne nécessiteront pas d'authentification pour y accéder et les clients non authentifiés seront en mesure d'installer Oracle Solaris par le biais de l'AI.
Exécutez la commande suivante pour réactiver la mise en application de la sécurité une fois celle-ci désactivée à l'aide de set-security --disable :
# installadm set-security -s Configuring web server security. Refreshing web server. Warning: client 02:00:00:00:00:00 of service solaris11_2-i386 is required to have credentials but has none. Automated Installer security has been enabled.
Utilisez la commande installadm pour supprimer les informations d'identification de sécurité. Les sous-commandes set-server, set-service et set-client, peuvent être utilisées pour supprimer les données d'identification de sécurité.
Les informations d'identification de sécurité sont également supprimées lorsque vous exécutez les sous-commandes delete-client ou delete-service. La commande delete-client permet de supprimer toutes les informations d'identification spécifiques au client. La sous-commande delete-service permet de supprimer toutes les informations d'identification propres au service, ainsi que les informations d'identification spécifiques au client pour tous les clients de ce service et tout service d'alias.
Attention- Les informations d'identification supprimées ne peuvent pas être récupérées et le protocole de sécurité TLS ne peut pas fonctionner sans les informations d'identification du serveur. La sécurité AI doit être désactivée avant de supprimer les informations d'identification du serveur.
Exemple 8-28 Suppression d'informations d'identification pour un clientCet exemple montre comment supprimer la clé et le certificat privés, tout certificat CA et toute clé OBP affectée au client par le biais de l'utilisation d'une adresse MAC. Si les clés OBP sont définies dans le microprogramme du client, annulez leur paramétrage comme décrit dans la section Suppression de la clé de hachage et de la clé de chiffrement.
# installadm set-client -e mac-addr -xExemple 8-29 Suppression d'un certificat CA
Cet exemple montre comment supprimer le certificat CA indiqué pour tous les clients qui utilisent ce CA certificat. La valeur de l'argument d'option –hash est la valeur de hachage de l'objet X.509 du certificat, comme affiché par la sous-commande list et indiqué dans Example 8–41. Tous les clients qui utilisent le certificat CA spécifié sont comptabilisés et affichés avec une invite pour confirmer que vous souhaitez poursuivre.
$ installadm set-client -x --hash b99588cf
Identifier hash: b99588cf
Subject: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Issuer: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Valid from Apr 27 13:12:27 2012 GMT to Apr 27 13:12:27 2015 GMT
This CA has the following uses:
WARNING: this is the server CA certificate
Deleting this Certificate Authority certificate can prevent
credentials from validating.
Do you want to delete this Certificate Authority certificate [y|N]: y
Deleting all references to Certificate Authority with hash value b99588cf
Attention - Dans cet exemple, toutes les instances de ce certificat CA sont supprimées pour tous les clients qui l'utilisent ; les clients impliqués ne peuvent plus être authentifiés. Ne fois le certificat CA spécifié utilisé pour générer des certificats, la commande installadm ne peut plus générer de certificats.
Exemple 8-30 Suppression des informations d'identification de sécurité du serveurCet exemple montre comment supprimer le certificat et la clé privée du serveur, tout certificat CA et les clés OBP pour l'authentification serveur uniquement :
# installadm set-server -x