事前共有鍵による IKE の構成

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

事前共有鍵は、IKE 用のもっとも簡単な認証方法です。IKE を使用するようにピアシステムを構成し、さらに、ユーザーが両方のシステムの管理者である場合、事前共有鍵を使用することをお勧めします。ただし、公開鍵認証とは異なり、事前共有鍵は IP アドレスに関連付けられます。事前共有鍵を特定の IP アドレスまたは IP アドレス範囲に関連付けることができます。事前共有鍵は、移動体システムや、番号が変更されることがあるシステムでは使用できませんが、番号の変更が、指定された IP アドレスの範囲内である場合を除きます。

事前共有鍵により IKE を構成する方法

IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。

この手順では、ASCII 形式の鍵を生成します。

これらの手順には、システム名 enigma および partym を使用します。enigma と partym を各自使用しているシステムの名前に置き換えてください。

注 - Trusted Extensions システムのラベルと一緒に IPsec を使用するには、『Trusted Extensions 構成と管理』の「マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する」にあるこの手順の拡張を参照してください。

始める前に

solaris.admin.edit/etc/inet/ike/config 承認に加えて、Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。root 役割には、これらの権利がすべて含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

リモートからログインする場合、セキュアなリモートログイン用の ssh コマンドを使用してください。例については、例 7-1 を参照してください。

システムごとに、/etc/inet/ike/config ファイルを作成します。
/etc/inet/ike/config.sample をテンプレートとして使用できます。

システムごとに、規則とグローバルパラメータを ike/config ファイルに入力します。

これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKE 構成例は、How to Secure Traffic Between Two Systems With IPsecの「IPsec で 2 つのシステム間のトラフィックを保護するには」の例で機能します。

たとえば、enigma システムの /etc/inet/ike/config ファイルを次のように変更します。

### ike/config file on enigma, 192.168.116.16

## Global parameters
#
## Defaults that individual rules can override.
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
#  Label must be unique
{ label "enigma-partym"
  local_addr 192.168.116.16
  remote_addr 192.168.13.213
  p1_xform
   { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
  p2_pfs 5
}

partym システムの /etc/inet/ike/config ファイルを次のように変更します。

### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2

## The rule to communicate with enigma
#  Label must be unique
{ label "partym-enigma"
  local_addr 192.168.13.213
  remote_addr 192.168.116.16
p1_xform
 { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}

システムごとに、ファイルの構文を確認します。
```
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
```

システムごとに /etc/inet/secret/ike.preshared ファイルを作成します。

各ファイルに事前共有鍵を書き込みます。

たとえば、enigma システムの ike.preshared ファイルは次のようになります。

# ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
    localid 192.168.116.16
    remoteidtype IP
    remoteid 192.168.13.213
    # The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}

partym システムの ike.preshared ファイルは次のようになります。

# ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
    localid 192.168.13.213
    remoteidtype IP
    remoteid 192.168.116.16
    # The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
    key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
    }

IKE サービスを有効にします。
```
# svcadm enable ipsec/ike
```

例 10-1 IKE 事前共有鍵をリフレッシュする

IKE 管理者が事前共有鍵をリフレッシュするときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。

最初に、管理者は 192.168.13.0/24 サブネット上のすべてのホストについて有効な、事前共有鍵エントリを追加します。

#…
{ localidtype IP
    localid 192.168.116.0/24
    remoteidtype IP
    remoteid 192.168.13.0/24
    # enigma and partym's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
    }

次に、管理者は各システムの IKE サービスを再起動します。

# svcadm enable ipsec/ike

次の手順

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。

新規ピアシステムのために IKE を更新する方法

同じピア間で動作中の構成に対して IPsec ポリシーエントリを追加した場合、IPsec ポリシーサービスをリフレッシュする必要があります。IKE の再構成または再起動は不要です。

IPsec ポリシーに新しいピアを追加した場合、IPsec の変更に加えて IKE 構成を変更する必要があります。

始める前に

ipsecinit.conf ファイルをリフレッシュし、ピアシステムの IPsec ポリシーをリフレッシュしました。

リモートからログインする場合、セキュアなリモートログイン用の ssh コマンドを使用してください。例については、例 7-1 を参照してください。

IPsec を使用する新規システム用の鍵を管理するための IKE の規則を作成します。

たとえば、enigma システムで、次の規則を /etc/inet/ike/config ファイルに追加します。

### ike/config file on enigma, 192.168.116.16
 
## The rule to communicate with ada

{label "enigma-to-ada"
 local_addr 192.168.116.16
 remote_addr 192.168.15.7
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
 p2_pfs 5
    }

ada システムで、次の規則を追加します。

### ike/config file on ada, 192.168.15.7
 
## The rule to communicate with enigma

{label "ada-to-enigma"
 local_addr 192.168.15.7
 remote_addr 192.168.116.16
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
 p2_pfs 5
}

ピアシステム用の IKE 事前共有鍵を作成します。

enigma システムで、次の情報を /etc/inet/secret/ike.preshared ファイルに追加します。

# ike.preshared on enigma for the ada interface
# 
{ localidtype IP
  localid 192.168.116.16
  remoteidtype IP
  remoteid 192.168.15.7
  # enigma and ada's shared key
  key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}

ada システムで、次の情報を ike.preshared ファイルに追加します。

# ike.preshared on ada for the enigma interface
# 
{ localidtype IP
  localid 192.168.15.7
  remoteidtype IP
  remoteid 192.168.116.16
  # ada and enigma's shared key
  key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}

各システムで、ike サービスをリフレッシュします。
```
# svcadm refresh ike
```

次の手順

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語)