可以通过传输层安全 (Transport Layer Security, TLS) 协议保护自动化安装。要使用 TLS 进行验证,必须为 AI 服务器和每个 AI 客户机分配专用证书和密钥对。此外,必须提供用于证书生成和签名的证书颁发机构 (Certificate Authority, CA) 证书。要为 SPARC 客户机启用安全功能,必须为每个客户机生成 OBP HMAC 密钥和加密密钥。这些密钥还可保护初始网络引导文件的下载。
您也可以为 x86 客户机启用安全功能,但请注意,x86 客户机使用 PXEBoot,因此初始网络引导阶段不会受到保护。要为 x86 客户机启用安全功能,必须从包含 CA 证书和客户机证书与密钥文件的定制 AI 映像创建 x86 安装服务。有关如何构建包含安全证书的定制 AI 介质,请参见创建定制 Oracle Solaris 11.2 安装映像 中的第 3 章 构建映像。从该映像创建安装服务后,必须使用在构建该 AI 映像期间所使用的相同安全证书在安装服务上设置安全功能。
可以通过以下方式保护自动化安装:
服务器验证:可以验证服务器的身份。
客户机验证:可以验证客户机的身份。
控制对自动化安装的访问。
控制对服务器数据的访问。
为所有客户机保护客户机数据,也可以单独为指定客户机保护客户机数据。
对数据进行加密,确保无法通过网络读取该数据。
访问受保护的 IPS 软件包系统信息库。
使 Web 服务器安全发布用户指定的目录。需要进行客户机验证来访问此目录。
除保护 AI 过程之外,还可以提高网络中的安全性,方法是使用 AI 在 AI 客户机中置备 Kerberos。有关说明,请参见如何使用 AI 配置 Kerberos 客户机。