クライアント AI セキュリティーには次の利点があります。
AI サーバーは AI クライアントの識別情報を検証できます。
データはネットワーク上で暗号化されます。
カスタム資格証明を持つクライアントの場合、クライアントに固有の公開されたすべてのファイルは、ほかのクライアントから読み取ることができません。
認証済みクライアントのみが、Web サーバーのユーザーファイルディレクトリの構成に記載されているユーザー指定のセキュアディレクトリにアクセスできます。
特定のクライアント、特定のインストールサービスのクライアント、または資格証明をまだ持たないすべてのクライアントに対して、資格証明を生成または指定することができます。生成された OBP 鍵は、双方向 (クライアントおよびサーバー) 認証に使用されます。SPARC クライアントにセキュリティー資格を割り当てる場合は、AI インストール用のクライアントをブートするときに OBP 鍵を指定する必要があります。セキュアなダウンロードを使用した SPARC クライアントのインストールを参照してください。
この例ではユーザーが提供する資格証明を指定します。クライアントが SPARC システムの場合、OBP 鍵がまだ存在しない場合は生成されます。OBP 鍵が生成される場合、これらの鍵を設定する OBP コマンドが表示されます。
# installadm set-client -e 02:00:00:00:00:00 -C client.crt -K client.key -A cacert.pem
セキュリティー資格の構成にある、–C、–K、および –A オプションの使用についてのコメントを参照してください。CA 証明書が指定されていない場合、これらのクライアント資格を生成するために使用される CA 証明書が事前に割り当てられている必要があります。
–E および –H オプションの使用については、SPARC クライアントの OBP セキュリティーキーを参照してください。
使用例 8-26 特定のインストールサービスのクライアントの資格証明この例は、solaris11_2-sparc インストールサービスに割り当てられ、資格証明がまだ割り当てられていないすべてのクライアントに資格証明を提供します。
# installadm set-service -g -n solaris11_2-sparc Generating credentials for service solaris11_2-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 34bc980ccc8dfee478f89b5acbdf51b4 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 b8a9f0b3472e8c3b29443daf7c9d448faad14fee
このインストールサービスは SPARC インストールサービスのため、OBP 鍵も生成され、これらの鍵を設定するための OBP コマンドが表示されます。
あとで solaris11_2-sparc インストールサービスに割り当てられるクライアントも、それらの MAC アドレスを指定してそれらのクライアントに資格証明が割り当てられない場合は、これらの資格証明を使用します。
このオプションは、複数のクライアント間でアプリケーションの統一されたセットを実行する場合に便利です。ただし、MAC アドレスを指定することによって資格証明が割り当てられていない、このインストールサービスのすべてのクライアントは、同一の資格証明を持ち、互いのインストールデータを表示できます。
セキュリティー資格の構成にある、–C、–K、および –A オプションの使用についてのコメントを参照してください。
–E および –H オプションの使用については、SPARC クライアントの OBP セキュリティーキーを参照してください。
使用例 8-27 デフォルトのクライアント資格この例は、資格証明を割り当てられていないすべてのクライアントにデフォルトの資格証明セットを提供します。
# installadm set-server -D -g Generating default client credentials... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 7cdbda5b8fc4b10ffbd29fa19d13af77 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 14effe2c515da4940ef1db165791e92790163004
一部のクライアントが SPARC クライアントのため、OBP 鍵も生成され、これらの鍵を設定するための OBP コマンドが表示されます。
デフォルトのクライアント資格が割り当てられると、すべてのクライアントはクライアント認証およびサーバー認証を実行することが期待され、AI サーバーのすべての SPARC クライアント用にファームウェア鍵が必要になります。また、複数のクライアントが同一の資格証明を持つため、これらは互いのインストールデータを表示できるようになります。
セキュリティー資格の構成にある、–C、–K、および –A オプションの使用についてのコメントを参照してください。
–E および –H オプションの使用については、SPARC クライアントの OBP セキュリティーキーを参照してください。
SPARC クライアントが強化されたセキュリティー機能を利用する場合、AI インストール用のクライアントをブートするときに、OBP のセキュリティー鍵を設定する必要があります。
installadm コマンドに set-server、set-service、または set-client サブコマンドを指定して使用して、TLS 資格証明を生成または指定するとき、ハッシュ (HMAC) 鍵および暗号化鍵がまだ存在しない場合、これらの鍵は自動的に生成されて表示されます。これらのファームウェア鍵は、同じコマンドを繰り返した場合に自動的に再生成されません。
OBP 鍵を再生成するには –E および –H オプションを使用できます。OBP 鍵が存在する前に –E または –H オプションを指定しないでください。すでに存在する暗号化鍵または HMAC が無効化されて置換されます。暗号化鍵を再生成するには –E オプションを使用します。ハッシュ鍵を再生成するには –H オプションを使用します。–E と –H の両方のオプションを指定することも、–E オプションのみ、または –H オプションのみ指定することもできます。コマンドを実行すると、すでに存在する OBP 鍵は無効にされ、新しく生成された値に置き換えられます。これらの鍵を設定する OBP コマンドが表示されます。
OBP セキュリティーキーを設定する OBP コマンドをあとで表示するには、次の例のように list サブコマンドに –v オプションを付けて使用します。
# installadm list -v -e mac-addr
このコマンドは、TLS 資格証明がクライアント MAC アドレスを使用して指定されたか、インストールサービス名を使用して指定されたか、あるいはデフォルトのクライアント資格であるかにかかわらず、このクライアントの正しい OBP 鍵を表示します。list サブコマンドからの出力には、Example 8–41 に示すように、OBP 鍵が、この特定のクライアントに対して、指定されたインストールサービスに対して、あるいはデフォルトクライアントに対して定義されたかどうかを示します。
このセクションでは、セキュリティー構成を削除せずにセキュリティー要件を無効化し、その後、以前構成済みのサーバーおよびクライアントの認証設定を使用してセキュリティー要件を再度有効化するために使用できるオプションについて説明します。
セキュリティーはデフォルトで有効化されています。セキュリティーが無効になっている間は、クライアントに資格が発行されず、クライアントからも資格が要求されません。セキュリティーが無効になっている間は、AI クライアントに提供されるどの AI ファイルにも HTTPS ネットワークによる保護が提供されません。AI Web サーバーによって提供されるユーザー指定のセキュアファイル (Web サーバーのユーザーファイルディレクトリの構成に記載) は、セキュリティーが無効になっている間はアクセスできません。
セキュリティーが無効になっている間も、引き続きセキュリティーを構成できます。変更内容はすべて、セキュリティーがふたたび有効になったときに反映されます。
サーバー全体にわたるセキュリティーの適用を無効にするには、次のコマンドを使用します。
# installadm set-server -S Refreshing web server. Automated Installer security has been disabled.
インストールサービスがすでに構成されているシステムに対してセキュリティーを無効にする場合は、注意してください。セキュリティー保護されているインストールサービスデータはアクセスの認証が不要になり、未認証のクライアントが AI 経由で Oracle Solaris をインストールできるようになります。
set-security --disable を使用してセキュリティーの適用を無効にしたあとでセキュリティーの適用を再度有効にするには、次のコマンドを使用します。
# installadm set-security -s Configuring web server security. Refreshing web server. Warning: client 02:00:00:00:00:00 of service solaris11_2-i386 is required to have credentials but has none. Automated Installer security has been enabled.
セキュリティー資格を削除するには、installadm コマンドを使用します。set-server、set-service、および set-client サブコマンドを使用してセキュリティー資格を削除できます。
セキュリティー資格は delete-client または delete-service サブコマンドを実行するときも削除されます。delete-client コマンドは、クライアント固有のすべての資格を削除します。delete-service サブコマンドは、サービス固有のすべての資格と、そのサービスおよび別名サービスのすべてのクライアントについてのクライアント固有の資格を削除します。
注意 - 削除された資格を回復することはできず、TLS セキュリティープロトコルはサーバー資格がないと機能できません。サーバー資格を削除する前に、AI セキュリティーが無効になります。
使用例 8-28 1 つのクライアントの資格の削除この例では、非公開鍵および証明書、すべての CA 証明書、MAC アドレスを使用してクライアントに割り当てられたすべての OBP 鍵を削除します。OBP 鍵がクライアントファームウェアで設定されている場合、ハッシュ鍵と暗号化鍵の削除の説明に従ってこれらを設定解除してください。
# installadm set-client -e mac-addr -x使用例 8-29 CA 証明書の削除
この例は、その CA 証明書を使用するすべてのクライアントの指定された CA 証明書を削除します。–hash オプション引数の値は、list サブコマンドによって表示されてExample 8–41 に示されている、証明書の X.509 サブジェクトのハッシュ値です。指定された CA 証明書を使用中のすべてのクライアントがカウントされ、続行を確認するメッセージとともに表示されます。
$ installadm set-client -x --hash b99588cf Identifier hash: b99588cf Subject: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca Issuer: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca Valid from Apr 27 13:12:27 2012 GMT to Apr 27 13:12:27 2015 GMT This CA has the following uses: WARNING: this is the server CA certificate Deleting this Certificate Authority certificate can prevent credentials from validating. Do you want to delete this Certificate Authority certificate [y|N]: y Deleting all references to Certificate Authority with hash value b99588cf
注意 -この例では、この CA 証明書のすべてのインスタンスが、これを使用するすべてのクライアントについて削除され、影響を受けるクライアントを認証できなくなります。指定された CA 証明書が証明書の生成に使用されると、installadm コマンドは証明書を生成できなくなります。
使用例 8-30 サーバーセキュリティー証明書の削除この例では、サーバーの非公開鍵および証明書、すべての CA 証明書、およびサーバー認証用の OBP 鍵のみを削除します。
# installadm set-server -x