Situation de compétition de disponibilité entre les algorithmes EF/kcfd et IPsec (6266083)

Les systèmes avec la version Solaris 10 3/05 HW1 risquent de poser des problèmes avec IPsec. Ce problème risque de se produire sur les systèmes nouvellement installés ou sur les systèmes important un grand nombre de nouveaux manifestes Service Management Facility (SMF) au cours de l'initialisation. Après ces conditions d'initialisation, IPsec, qui fait partie de svc:/network/initial:default , peut être initialisé avant le cadre de chiffrement, qui fait partie de svc:/system/cryptosvc:default. Les algorithmes d'authentification et de chiffrement n'étant pas disponibles, la création d'associations de sécurité IPsec risque d'échouer avec un message d'erreur tel que le suivant :

PF_KEY error: type=ADD, errno=22:
Invalid argument, diagnostic  code=40:
Unsupported authentication algorithm

Par exemple, cette erreur risque de se produire lorsque vous utilisez la reconfiguration dynamique sur un système Sun Fire E25K, ce qui implique des services IPsec.

Solution : Avant de réaliser des opérations faisant appel aux services IPsec, suivez la procédure ci-dessous après une initialisation important un grand nombre de nouveaux manifestes SMF :

Exécutez cette commande après l'initialisation :
ipsecalgs -s
Si /etc/inet/secret/ipseckeys existe sur le système, exécutez également cette commande :
ipseckey -f /etc/inet/secret/ipseckeys

Vous pouvez maintenant effectuer des actions permettant de créer des associations de sécurité IPsec telles que l'utilisation de la DR sur un système Sun Fire E25K.

Cette procédure doit être répétée uniquement lorsqu'un grand nombre de nouveaux manifestes SMF sont importés lors de l'initialisation.