使用 installadm create-service 命令可创建安装服务并对其进行配置。有关更多信息,请参见如何创建安装服务。使用 installadm set-service 命令可重新配置现有安装服务。本节介绍如何为安装服务设置安全策略。
确认 AI 客户机的身份。需要对指定服务的所有客户机进行客户机和服务器验证。此选项还要求加密。
要求服务的所有客户机都通过客户机验证进行验证。必须为指定服务的所有客户机分配凭证,并且必须为该服务的所有 SPARC 客户机定义各自的 OBP 密钥。该服务的客户机如果未配置客户机验证,则将无法使用此安装服务。
确认 AI 服务器的身份。需要指定服务的所有客户机执行服务器验证。此选项还要求加密。
至少需要 AI 服务器验证来访问指定安装服务。客户机验证是可选的,但必须提供已分配或有归属的客户机凭证。此外,还必须为该服务的所有 SPARC 客户机定义 OBP 密钥。
允许已验证和未验证的客户机访问安装服务。如果服务器具有凭证,此选项还会要求加密。这是缺省行为。
必须提供任何已分配的客户机凭证。不具有已分配或有归属的凭证的客户机不会使用 OBP 密钥或服务器验证。仅为配置了客户机验证的客户机提供服务器验证。
仅限 x86 客户机:启用 SSL/TLS 端到端加密而不要求验证。如果未经验证,客户机和服务器的身份得不到保证。第三方无法通过网络读取传输中的数据。
对指定服务的所有客户机禁用所有安全设置。
不会对此服务的客户机进行验证。不会发出任何凭证。此服务的客户机无法访问配置 Web 服务器用户文件目录中所述的 webserver_secure_files_dir 目录。使用此设置时需慎重:先前通过验证进行保护的安装服务文件不再受到保护。无法防止客户机数据受到不需要的访问。要重新启用验证,请使用其他安全策略值指定 set-service 子命令。
本示例指定了要求服务器验证以使用安装服务的安全设置。使用 require-server-auth 安装服务安全设置以要求指定服务的客户机至少对 AI 服务器进行验证。
# installadm set-service -p require-server-auth -n install-service示例 8-24 x86: 要求安装期间进行加密
本示例指定了使用加密但不要求验证的安全设置。在 x86 客户机上,要保护特定安装服务的数据传输而不要求客户机验证或服务器验证,请使用 encr-only 安全设置。仍需要服务器证书。保护数据免遭网络侦测,但对于向服务器发出正确请求的客户机,AI 服务器将向其提供数据。
# installadm set-service -p encr-only -n install-service