클라이언트 AI 서버 보안은 다음과 같은 이점을 제공합니다.
AI 서버에서 AI 클라이언트의 ID를 확인할 수 있습니다.
데이터가 네트워크를 통해 암호화됩니다.
사용자 정의 자격 증명이 있는 클라이언트의 경우 해당 클라이언트의 게시된 파일을 다른 클라이언트에서 읽을 수 없습니다.
인증된 클라이언트만 웹 서버 사용자 파일 디렉토리 구성에서 설명한 사용자 지정 보안 디렉토리에 액세스할 수 있습니다.
특정 클라이언트, 특정 설치 서비스의 클라이언트 또는 자격 증명이 없는 클라이언트에 대해 자격 증명을 생성하거나 지정할 수 있습니다. 생성된 OBP 키는 양방향(클라이언트 및 서버) 인증을 위해 생성됩니다. SPARC 클라이언트에 보안 인증서를 지정한 경우 AI 설치용 클라이언트를 부트할 때 OBP 키를 제공해야 합니다. 보안 다운로드를 사용하여 SPARC 클라이언트 설치를 참조하십시오.
이 예에서는 사용자가 제공한 자격 증명을 지정합니다. 클라이언트가 SPARC 시스템이고 OBP 키가 기존에 없는 경우 새로 생성됩니다. OBP 키가 생성된 경우 이러한 키를 설정하는 OBP 명령이 표시됩니다.
# installadm set-client -e 02:00:00:00:00:00 -C client.crt -K client.key -A cacert.pem
–C, –K 및 –A 옵션에 대한 자세한 내용은 보안 자격 증명 구성을 참조하십시오. CA 자격 증명을 지정하지 않은 경우 이러한 클라이언트 자격 증명을 생성하는 데 사용되는 CA 인증서를 미리 지정해야 합니다.
–E 및 –H 옵션 사용에 대한 자세한 내용은 SPARC 클라이언트용 OBP 보안 키를 참조하십시오.
예 8-26 특정 설치 서비스의 클라이언트용 자격 증명이 예에서는 solaris11_2-sparc 설치 서비스에 지정되고 자격 증명이 아직 지정되지 않은 클라이언트에 대해 자격 증명을 제공합니다.
# installadm set-service -g -n solaris11_2-sparc Generating credentials for service solaris11_2-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 34bc980ccc8dfee478f89b5acbdf51b4 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 b8a9f0b3472e8c3b29443daf7c9d448faad14fee
이 설치 서비스는 SPARC 설치 서비스이므로 OBP 키도 생성되고 이러한 키를 설정하는 OBP 명령이 표시됩니다.
이러한 클라이언트에 MAC 주소를 지정하여 자격 증명을 지정하지 않으면 이후 solaris11_2-sparc 설치 서비스에 지정되는 클라이언트도 이 자격 증명을 사용합니다.
이 옵션은 여러 클라이언트에서 통일된 응용 프로그램 세트를 사용하려는 경우 유용합니다. 그러나 MAC 주소를 사용하여 자격 증명을 지정하지 않은 이 설치 서비스의 모든 클라이언트는 동일한 자격 증명을 갖게 되며 서로 설치 데이터를 볼 수 있습니다.
–C, –K 및 –A 옵션에 대한 자세한 내용은 보안 자격 증명 구성을 참조하십시오.
–E 및 –H 옵션 사용에 대한 자세한 내용은 SPARC 클라이언트용 OBP 보안 키를 참조하십시오.
예 8-27 기본 클라이언트 자격 증명이 예에서는 자격 증명이 지정되지 않은 클라이언트에 대한 기본 자격 증명 세트를 제공합니다.
# installadm set-server -D -g Generating default client credentials... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 7cdbda5b8fc4b10ffbd29fa19d13af77 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 14effe2c515da4940ef1db165791e92790163004
일부 클라이언트가 SPARC 클라이언트일 수 있으므로 OBP 키도 생성되고 이러한 키를 설정하는 OBP 명령이 표시됩니다.
기본 클라이언트 자격 증명이 지정되면 모든 클라이언트가 클라이언트 및 서버 인증을 수행하고 AI 서버의 모든 SPARC 클라이언트에 대해 펌웨어 키가 필요하게 됩니다. 또한 여러 클라이언트가 동일한 자격 증명을 갖게 되므로 서로의 설치 데이터를 볼 수 있습니다.
–C, –K 및 –A 옵션에 대한 자세한 내용은 보안 자격 증명 구성을 참조하십시오.
–E 및 –H 옵션 사용에 대한 자세한 내용은 SPARC 클라이언트용 OBP 보안 키를 참조하십시오.
SPARC 클라이언트가 향상된 보안 기능의 혜택을 받으려면 AI 설치용 클라이언트를 부트할 때 OBP 보안 키를 설정해야 합니다.
installadm 명령을 set-server, set-service 또는 set-client 하위 명령과 함께 사용하여 TLS 자격 증명을 생성하거나 지정할 때 해싱(HMAC) 키 및 암호 키가 기존에 없는 경우 자동으로 생성되어 표시됩니다. 동일한 명령을 반복할 경우 이러한 펌웨어 키는 자동으로 재생성되지 않습니다.
–E 및 –H 옵션을 사용하여 OBP 키를 재생성할 수 있습니다. OBP 키가 없는 경우 –E 또는 –H 옵션을 지정하지 마십시오. 기존 암호 키 또는 HMAC는 무효화되고 대체됩니다. 암호 키를 재생성하려면 –E 옵션을 사용합니다. 해싱 키를 재생성하려면 –H 옵션을 사용합니다. –E 및 –H 옵션 모두, –E 옵션만 또는 –H 옵션만 지정할 수 있습니다. 명령을 실행하면 기존 OBP 키가 무효화되고 새로 생성된 값으로 대체됩니다. 이러한 키를 설정하는 OBP 명령이 표시됩니다.
나중에 OBP 보안 키를 설정하는 OBP 명령을 표시하려면 다음 예제와 같이 list 하위 명령에 –v 옵션을 사용합니다.
# installadm list -v -e mac-addr
이 명령은 TLS 자격 증명이 설치 서비스 이름을 사용하는 클라이언트 MAC 주소를 사용하여 지정되었는지 아니면 기본 클라이언트 자격 증명인지 여부에 관계없이 이 클라이언트에 대한 올바른 OBP 키를 표시합니다. list 하위 명령의 출력은 Example 8–41에서처럼 OBP 키가 이 특정 클라이언트, 지정한 설치 서비스 또는 기본 클라이언트 중 어떤 항목에 대해 정의되었는지 보여줍니다.
이 절에서는 보안 구성을 삭제하지 않고 보안 요구 사항을 사용 안함으로 설정한 다음 이전에 구성된 서버 및 클라이언트 인증 설정을 사용하여 보안 요구 사항을 다시 사용으로 설정하는 데 사용할 수 있는 옵션에 대해 설명합니다.
보안은 기본적으로 사용으로 설정됩니다. 보안을 사용 안함으로 설정하면 클라이언트에 대해 자격 증명이 발행되지 않고 클라이언트에서 자격 증명을 요구하지도 않습니다. 보안을 사용 안함으로 설정하면 AI 클라이언트에 제공되는 모든 AI 파일에 대해 HTTPS 네트워크 보호가 제공되지 않습니다. 보안을 사용 안함으로 설정한 경우 AI 웹 서버에서 제공하는 사용자 지정 보안 파일(웹 서버 사용자 파일 디렉토리 구성 참조)에 액세스할 수 없습니다.
보안을 사용 안함으로 설정한 경우에도 보안을 계속 구성할 수 있습니다. 보안을 다시 사용으로 설정하면 모든 변경 사항이 적용됩니다.
다음 명령을 사용하여 서버 차원의 보안 적용을 사용 안함으로 설정합니다.
# installadm set-server -S Refreshing web server. Automated Installer security has been disabled.
설치 서비스가 이미 구성된 시스템의 보안을 사용 안함으로 설정할 때는 주의하십시오. 보호된 설치 서비스 데이터에 액세스할 때 인증이 필요하지 않으며 인증되지 않은 클라이언트가 AI를 통해 Oracle Solaris를 설치할 수 있습니다.
set-security --disable을 사용하여 보안 적용을 사용 안함으로 설정한 다음 보안 적용을 다시 사용으로 설정하려면 다음 명령을 사용하십시오.
# installadm set-security -s Configuring web server security. Refreshing web server. Warning: client 02:00:00:00:00:00 of service solaris11_2-i386 is required to have credentials but has none. Automated Installer security has been enabled.
installadm 명령을 사용하여 보안 인증서를 삭제합니다. set-server, set-service 및 set-client 하위 명령을 사용하여 보안 인증서를 삭제할 수 있습니다.
보안 인증서는 delete-client 또는 delete-service 하위 명령을 실행하여 제거할 수도 있습니다. delete-client 명령은 모든 클라이언트별 인증서를 제거합니다. delete-service 하위 명령은 모든 서비스별 인증서와 해당 서비스 및 모든 별칭 서비스의 모든 클라이언트에 대한 클라이언트별 인증서를 제거합니다.
주의 - 삭제된 인증서는 복구할 수 없으며 서버 인증서 없이는 TLS 보안 프로토콜이 작동하지 않습니다. 서버 인증서를 삭제하기 전에 AI 보안이 사용 안함으로 설정됩니다.
예 8-28 단일 클라이언트용 인증서 삭제이 예에서는 MAC 주소를 사용하여 클라이언트에 지정한 개인 키와 인증서, CA 인증서 및 OBP 키를 삭제합니다. 클라이언트 펌웨어에서 OBP 키가 설정된 경우 해시 키 및 암호 키 삭제의 설명에 따라 설정 해제하십시오.
# installadm set-client -e mac-addr -x예 8-29 CA 인증서 삭제
이 예에서는 CA 인증서를 사용하는 모든 클라이언트용으로 지정된 CA 인증서를 삭제합니다. Example 8–41에서 보는 것처럼 –hash 옵션 인수 값은 list 하위 명령에 의해 표시된 인증서 X.509 주체의 해시 값입니다. 지정한 CA 인증서를 사용하는 모든 클라이언트의 수가 계산되고 계속할지를 확인하는 프롬프트와 함께 표시됩니다.
$ installadm set-client -x --hash b99588cf
Identifier hash: b99588cf
Subject: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Issuer: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca
Valid from Apr 27 13:12:27 2012 GMT to Apr 27 13:12:27 2015 GMT
This CA has the following uses:
WARNING: this is the server CA certificate
Deleting this Certificate Authority certificate can prevent
credentials from validating.
Do you want to delete this Certificate Authority certificate [y|N]: y
Deleting all references to Certificate Authority with hash value b99588cf
주의 -이 예에서 이 CA 인증서를 사용하는 모든 클라이언트에 대해 이 CA 인증서의 모든 인스턴스가 삭제되고 해당 클라이언트는 더 이상 인증을 받을 수 없습니다. 지정한 CA 인증서를 사용하여 인증서를 생성하면 installadm 명령으로 더 이상 인증서를 생성할 수 없습니다.
예 8-30 서버 보안 인증서 삭제이 예에서는 서버의 서버 인증 전용 개인 키 및 인증서, CA 인증서 및 OBP 키를 삭제합니다.
# installadm set-server -x