La seguridad de cliente AI proporciona las siguientes ventajas:
El servidor AI puede verificar la identidad de los clientes AI.
Los datos se cifran a través de la red.
En el caso de los clientes con credenciales personalizadas, los archivos publicados específicos de un cliente no pueden ser leídos por ningún otro cliente.
Sólo los clientes autenticados pueden acceder al directorio seguro especificado por el usuario que se describe en Configuración del directorio de archivos de usuario del servidor web.
Puede generar o especificar las credenciales para un cliente determinado, para los clientes de un determinado servicio de instalación, o para cualquier cliente que aún no tenga credenciales. Las claves de OBP que se generan son para la autenticación bidireccional (cliente y servidor). Si asigna credenciales de seguridad a un cliente SPARC, debe proporcionar las claves de OBP al iniciar el cliente para la instalación AI. Consulte Instalación de un cliente SPARC mediante descarga segura.
En este ejemplo, se especifican las credenciales proporcionadas por el usuario. Si el cliente es un sistema SPARC, si aún no existen, se generan las claves de OBP. Si se generan claves de OBP, se muestran los comandos de OBP para establecer estas claves.
# installadm set-client -e 02:00:00:00:00:00 -C client.crt -K client.key -A cacert.pem
Consulte los comentarios sobre el uso de las opciones –C, –K y –A en Configuración de credenciales de seguridad. Si el certificado de autoridad de certificación no está especificado, el certificado de autoridad de certificación utilizado para generar estas credenciales de cliente debe estar ya asignado.
Consulte Claves de seguridad de OBP para clientes SPARC para obtener información sobre el uso de las opciones –E y –H.
Ejemplo 8-26 Credenciales para los clientes de un servicio de instalación específicoEn este ejemplo, se proporcionan las credenciales para cualquier cliente que esté asignado al servicio de instalación solaris11_2-sparc y que aún no tenga credenciales asignadas.
# installadm set-service -g -n solaris11_2-sparc Generating credentials for service solaris11_2-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 34bc980ccc8dfee478f89b5acbdf51b4 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 b8a9f0b3472e8c3b29443daf7c9d448faad14fee
Como este servicio de instalación es un servicio de instalación SPARC, también se generan claves de OBP y se muestran los comandos de OBP para establecer estas claves.
Los clientes que posteriormente se asignan al servicio de instalación solaris11_2-sparc también utilizan estas credenciales si esos clientes no tienen credenciales asignadas mediante la especificación de su dirección MAC.
Esta opción es útil cuando se desea un conjunto uniforme de aplicaciones en varios clientes. Sin embargo, todos los clientes de este servicio de instalación que no tienen credenciales asignadas mediante la especificación de sus direcciones MAC tienen credenciales idénticas y pueden ver los datos de instalación de cada uno.
Consulte los comentarios sobre el uso de las opciones –C, –K y –A en Configuración de credenciales de seguridad.
Consulte Claves de seguridad de OBP para clientes SPARC para obtener información sobre el uso de las opciones –E y –H.
Ejemplo 8-27 Credenciales de cliente predeterminadasEn este ejemplo, se proporciona un conjunto predeterminado de credenciales para cualquier cliente sin credenciales asignadas.
# installadm set-server -D -g Generating default client credentials... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 7cdbda5b8fc4b10ffbd29fa19d13af77 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 14effe2c515da4940ef1db165791e92790163004
Debido a que algunos clientes pueden ser clientes SPARC, también se generan claves de OBP y se muestran los comandos de OBP para establecer estas claves.
Una vez que se asignen las credenciales de cliente predeterminadas, se esperará que todos los clientes realicen la autenticación de cliente y servidor, y se requerirán las claves de firmware para todos los clientes SPARC del servidor AI. Asimismo, dado que varios clientes tendrán credenciales idénticas, éstos podrán ver los datos de la instalación de cada uno de ellos.
Consulte los comentarios sobre el uso de las opciones –C, –K y –A en Configuración de credenciales de seguridad.
Consulte Claves de seguridad de OBP para clientes SPARC para obtener información sobre el uso de las opciones –E y –H.
Para que los clientes SPARC se beneficien de las funciones de mayor seguridad, debe definir las claves de OBP al iniciar el cliente para la instalación AI.
Cuando se utiliza el comando installadm con los subcomandos set-server, set-service o set-client para generar o especificar credentials TLS, automáticamente se genera y se muestra una clave hash (HMAC) y una clave de cifrado, si aún no existen. Estas claves de firmware no se vuelven a generar automáticamente cuando se repite el mismo comando.
Puede utilizar las opciones –E y –H para volver a generar las claves de OBP. No especifique las opciones –E o –H antes de que exista una clave de OBP. La clave de cifrado o HMAC que ya existe no está validada y se reemplaza. Utilice la opción –E para volver a generar la clave de cifrado. Utilice la opción –H para volver a generar la clave hash. Puede especificar las opciones –E y –H, sólo la opción –E o sólo la opción –H. Cuando se ejecuta el comando, las claves de OBP que ya existen no son validadas y se reemplazan por los valores recién generados. Se muestran los comandos de OBP para establecer estas claves.
Para mostrar el comando de OBP para establecer las claves de seguridad de OBP más tarde, utilice la opción –v con el subcomando list, como en el siguiente ejemplo:
# installadm list -v -e mac-addr
Este comando muestra las claves de OBP correctas para este cliente, si las credenciales TLS se especificaron mediante la dirección MAC de cliente con el nombre de servicio de instalación, o si son credenciales de cliente predeterminadas. La salida del subcomando list muestra si las claves de OBP se definen para este cliente en particular, para un servicio de instalación específico o para el cliente predeterminado, como se muestra en el Example 8–41.
En esta sección, se describen las opciones que se pueden utilizar para desactivar los requisitos de seguridad sin suprimir la configuración de seguridad y, luego, volver a activar los requisitos de seguridad mediante la configuración de autenticación de cliente y servidor previamente configurada.
La seguridad está activada de manera predeterminada. Mientras la seguridad está desactivada, no se emiten credenciales a clientes y no se requieren credenciales de los clientes. Mientras la seguridad está desactivada, no se ofrece protección de red HTTPS para ninguno de los archivos AI gestionados en un cliente AI. No se puede acceder a los archivos seguros especificados por el usuario gestionados por el servidor web AI (como se describe en Configuración del directorio de archivos de usuario del servidor web) mientras la seguridad está desactivada.
Mientras la seguridad está desactiva, puede seguir configurando la seguridad. Cualquier cambio se aplica cuado se vuelve a activar la seguridad.
Utilice el siguiente comando para desactivar la aplicación de la seguridad en todo el servidor:
# installadm set-server -S Refreshing web server. Automated Installer security has been disabled.
Tenga cuidado al desactivar la seguridad de los sistemas que ya tienen servicios de instalación configurados. No se requerirá autenticación para acceder a los datos de servicio de instalación seguros y los clientes no autenticados podrán instalar Oracle Solaris mediante AI.
Utilice el siguiente comando para volver a activar la aplicación de la seguridad después de haber desactivado la aplicación de la seguridad mediante set-security --disable:
# installadm set-security -s Configuring web server security. Refreshing web server. Warning: client 02:00:00:00:00:00 of service solaris11_2-i386 is required to have credentials but has none. Automated Installer security has been enabled.
Utilice el comando installadm para suprimir las credenciales de seguridad. Los subcomandos set-server, set-service y set-client se pueden utilizar para suprimir las credenciales de seguridad.
Las credenciales de seguridad también se eliminan cuando se ejecutan los subcomandos delete-client o delete-service. El comando delete-client elimina todas las credenciales específicas del cliente. El subcomando delete-service elimina todas las credenciales específicas del servicio y las credenciales específicas del cliente para todos los clientes de ese servicio y de cualquier servicio de alias.
Precaución: Las credenciales suprimidas no se pueden recuperar y el protocolo de seguridad TLS no puede funcionar sin credenciales de servidor. Antes de suprimir las credenciales de servidor se desactivará la seguridad AI.
Ejemplo 8-28 Supresión de credenciales para un clienteEn este ejemplo, se suprime el certificado y la clave privada, cualquier certificado de autoridad de certificación y cualquier clave de OBP que se haya asignado al cliente mediante una dirección MAC. Si se definen claves de OBP en el firmware del cliente, anule su definición como se describe en Supresión de la clave hash y de la clave de cifrado.
# installadm set-client -e mac-addr -xEjemplo 8-29 Supresión de un certificado de autoridad de certificación
En este ejemplo, se suprime el certificado de autoridad de certificación de todos los clientes que utilizan ese certificado de autoridad de certificación. El valor del argumento de la opción –hash es el valor hash del asunto del certificado X.509, como se muestra mediante el subcomando list y en el Example 8–41. Los clientes que están utilizando el certificado de autoridad de certificación especificado se cuentan y se muestran junto con una petición de datos para confirmar que desea continuar.
$ installadm set-client -x --hash b99588cf
Identifier hash: b99588cf
Subject: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Issuer: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Valid from Apr 27 13:12:27 2012 GMT to Apr 27 13:12:27 2015 GMT
This CA has the following uses:
WARNING: this is the server CA certificate
Deleting this Certificate Authority certificate can prevent
credentials from validating.
Do you want to delete this Certificate Authority certificate [y|N]: y
Deleting all references to Certificate Authority with hash value b99588cf
Precaución: en este ejemplo, se suprimen todas las instancias de este certificado de autoridad de certificación para todos los clientes que lo utilizan; los clientes afectados ya no se pueden autenticar. Una vez que el certificado de autoridad de certificación especificado se utiliza para generar certificados, el comando installadm ya no puede generar certificados.
Ejemplo 8-30 Supresión de las credenciales de seguridad del servidorEn este ejemplo, se suprime el certificado y la clave privada del servidor, cualquier certificado de autoridad de certificación y las claves de OBP para la autenticación de servidor solamente:
# installadm set-server -x