Race-Condition zwischen EF/kcfd und IPsec (Algorithmen nicht verfügbar) (6266083)

Systeme, auf denen Solaris 10 3/05 HW1 installiert ist, können Probleme mit IPsec verursachen. Dieses Problem zeigt sich unter Umständen auf einem neu installierten System oder auf einem System, das beim Booten eine große Zahl neuer SMF-Manifeste (Service Management Facility) importiert. In diesen Szenarien kann es vorkommen, dass IPsec (Bestandteil von svc:/network/initial:default ) vor dem Verschlüsselungs-Framework (Bestandteil von svc:/system/cryptosvc:default) initialisiert wird. Da in diesem Fall die Authentifizierungs- und Verschlüsselungsalgorithmen nicht verfügbar sind, schlägt die Erstellung der IPsec-Sicherheitsverknüpfungen fehl. Es wird eine Fehlermeldung ähnlich der folgenden angezeigt:

PF_KEY Fehler: Typ=ADD, errno=22:
Ungültiges Argument, Diagnosekode=40:
Nicht unterstützter Authentifizierungsalgorithmus

Dieser Fehler kann beispielsweise bei einer DR auf einem Sun Fire E25K-System auftreten, da hier die IPsec-Dienste involviert sind.

Abhilfemaßnahme: Führen Sie nach einem Bootvorgang, bei dem eine große Zahl neuer SMF-Manifeste importiert werden, die folgenden Schritte aus, bevor Sie einen Vorgang starten, der IPsec-Dienste verwendet.

1. Führen Sie nach dem Booten den folgenden Befehl aus:

   ipsecalgs -s

2. Wenn die Datei /etc/inet/secret/ipseckeys auf dem System existiert, führen Sie außerdem folgenden Befehl aus:

   ipseckey -f /etc/inet/secret/ipseckeys

Sie können nun Vorgänge ausführen, die IPsec-Sicherheitsverknüpfungen erstellen (z. B. DR auf einem Sun Fire E25K-System).

Dieser Vorgang muss nur wiederholt werden, wenn bei einem späteren Bootvorgang wiederum viele neue SMF-Manufeste importiert werden.