Conflitto tra kcfd e la disponibilità dell'algoritmo IPsec (6266083)

I sistemi che eseguono Solaris 10 8/07 possono produrre problemi con IPsec. Questo problema si può verificare su un sistema appena installato o su un sistema che importa un numero elevato di nuovi manifesti SMF (Service Management Facility) all'avvio. In queste condizioni, l'inizializzazione di IPsec (che fa parte di svc:/network/initial:default) può precedere quella del framework di cifratura, che fa parte di svc:/system/cryptosvc:default. Poiché gli algoritmi di autenticazione o cifratura non sono ancora disponibili, la creazione delle associazioni di sicurezza di IPsec non riesce e produce i seguenti messaggi di errore:

PF_KEY error: type=ADD, errno=22:
Invalid argument, diagnostic  code=40:
Algoritmo di autenticazione non supportato

Questa condizione si può verificare ad esempio utilizzando la configurazione dinamica su un sistema Sun Fire E25K, che utilizza i servizi IPsec.

Soluzione. Prima di eseguire operazioni che utilizzano i servizi IPsec (ad esempio l'avvio con importazione di un numero elevato di nuovi manifesti SMF) procedere come segue:

Digitare questo comando prima dell'avvio:
ipsecalgs -s
Se sul sistema è presente il file /etc/inet/secret/ipseckeys, digitare anche il comando:
ipseckey -f /etc/inet/secret/ipseckeys

A questo punto è possibile eseguire le azioni che creano le associazioni di sicurezza IPsec, come le operazioni DR su un sistema Sun Fire E25K.

Questa procedura deve essere ripetuta solo quando è necessario importare un grande numero di manifesti SMF all'avvio.