Race-Condition zwischen EF/kcfd und IPsec (Algorithmen nicht verfügbar) (6266083)

Dieses Problem zeigt sich unter Umständen auf einem neu installierten System oder auf einem System, das beim Booten eine große Zahl neuer SMF-Manifeste (Service Management Facility) importiert. In diesen Szenarien kann es vorkommen, dass IPsec (Bestandteil von svc:/network/initial:default ) vor dem Verschlüsselungs-Framework (Bestandteil von svc:/system/cryptosvc:default) initialisiert wird. Da in diesem Fall die Authentifizierungs- und Verschlüsselungsalgorithmen nicht verfügbar sind, schlägt die Erstellung der IPsec-Sicherheitsverknüpfungen fehl. Es wird eine Fehlermeldung ähnlich der folgenden angezeigt:

PF_KEY Fehler: Typ=ADD, errno=22:
Ungültiges Argument, Diagnosekode=40:
Nicht unterstützter Authentifizierungsalgorithmus

Dieser Fehler kann beispielsweise bei einer DR auf einem Sun Fire E25K-System auftreten, da hier die IPsec-Dienste involviert sind.

Abhilfemaßnahme: Führen Sie nach einem Bootvorgang, bei dem eine große Zahl neuer SMF-Manifeste importiert werden, die folgenden Schritte aus, bevor Sie einen Vorgang starten, der IPsec-Dienste verwendet.

1. Führen Sie nach dem Booten den folgenden Befehl aus:

   ipsecalgs -s

2. Wenn die Datei /etc/inet/secret/ipseckeys auf dem System existiert, führen Sie außerdem folgenden Befehl aus:

   ipseckey -f /etc/inet/secret/ipseckeys

Sie können nun Vorgänge ausführen, die IPsec-Sicherheitsverknüpfungen erstellen (z. B. DR auf einem Sun Fire E25K-System).

Dieser Vorgang muss nur wiederholt werden, wenn bei einem späteren Bootvorgang wiederum viele neue SMF-Manufeste importiert werden.