IPsec と IKE の実行中に IPsec ポリシーのエントリを追加した場合は、新しいポリシーおよび IKE ルールをカーネルに読み込む必要があります。Solaris 10 4/09 リリース以降では、新しい鍵を追加したあと policy サービスを再起動し、ike サービスを更新します。
Solaris 10 4/09 リリースより前のリリースでこの手順を実行するには、例 23–3 を参照してください。
この手順では、次のように仮定しています。
enigma システムは、「事前共有鍵により IKE を設定する方法」で説明されているように設定されている。
enigma システムは、新しいシステム ada を使用して、そのトラフィックを保護しようとしている。
両システムで in.iked デーモンが動作している。
両システムの /etc/hosts ファイルには、各システムのインタフェースのエントリが登録されている。次に例を示します。
192.168.15.7 ada 192.168.116.16 enigma |
この手順は、/etc/inet/ipnodes ファイル内の Ipv6 アドレスにも適用されます。Solaris 10 6/07 リリース以降では、IPv6 エントリは /etc/hosts ファイルに格納されています。
両システムの /etc/inet/ipsecinit.conf ファイルに新しいポリシーエントリが追加されている。この場合、エントリは次のようになります。
# ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared} |
# ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared} |
現在のリリースの場合は、次のコマンドを使用して、各システムの /etc/inet/ipsecinit.conf ファイルの構文を確認してある。
# ipsecconf -c -f /etc/inet/ipsecinit.conf |
システムコンソール上で、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
リモートログインすると、セキュリティー上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティーがリモートログインセッションレベルに低下します。セキュリティー保護されたリモートログインには、ssh コマンドを使用してください。
このシステムで乱数を生成し、64 から 448 ビットの鍵を作成します。
詳細については、「Solaris System で乱数を生成するには」を参照してください。Solaris システムが ASCII 形式を必要とするオペレーティングシステムと通信する場合、事前共有鍵を生成する方法については、例 23–1 を参照してください。
このキーを何らかの方法でリモートシステムの管理者に送信します。
両者は、同じ事前共有鍵を同時に追加する必要があります。この鍵の安全性は転送機構の安全性と同じです。登録済みメールや保護済み FAX マシンなど、帯域外機構を使用することが最良です。ssh セッションを使用して両方のシステムを管理することもできます。
enigma と ada の鍵を管理するための IKE の規則を作成します。
enigma システムで、次の規則を /etc/inet/ike/config ファイルに追加します。
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 } |
ada システムで、次の規則を追加します。
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 } |
リブート時に IKE 事前共有鍵が利用できることを確認します。
enigma システムで、次の情報を /etc/inet/secret/ike.preshared ファイルに追加します。
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d } |
ada システムで、次の情報を ike.preshared ファイルに追加します。
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d } |
各システムで、IPsec ポリシーサービスを再起動して、追加したインタフェースをセキュリティー保護します。
# svcadm restart policy |
各システムで、ike サービスを更新します。
# svcadm refresh ike |
両システムが通信できることを確認します。
詳細は、「事前共有鍵が同一であることを確認する方法」を参照してください。
次の例では、現在の Solaris リリースが稼働していない Solaris システムに管理者が事前共有鍵を追加しようとしています。管理者は前の手順に従って ike/config ファイルと ike.preshared ファイルを変更し、鍵を生成し、リモートシステムに接続します。管理者は各種のコマンドを使用して、新しい IPsec ポリシーおよび IKE ルールをカーネルに読み込みます。
新しい鍵を生成する前に、管理者は in.iked デーモンの特権レベルを 2 に設定します。
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2 |
通信先のシステムに鍵を送信し、新しい鍵をシステムに追加したあと、管理者は特権レベルを低くします。
# ikeadm set priv base |
次に、管理者は新しい IPsec ポリシーをカーネルに読み込みます。
# ipsecconf -a /etc/inet/ipsecinit.conf |
最後に、新しい IKE ルールをカーネルに読み込みます。
# ikeadm read rules |