kcfd アルゴリズムと IPsec アルゴリズムを使用するときにこれらが競合する (6266083)

Solaris 10 8/07 リリースを使用するシステムは IPsec に関する問題を引き起こす可能性があります。この問題は、新規にインストールしたシステム、つまりブート時に新しい SMF (Service Management Facility) マニフェストを多数インポートするシステムで発生することがあります。このようなブートを実行したあとに、svc:/system/cryptosvc:default に含まれる暗号化フレームワークが初期化される前に、svc:/network/initial:default に含まれる IPsec が初期化されることがあります。認証アルゴリズムまたは暗号化アルゴリズムが使用できないため、IPsec セキュリティーアソシエーションの作成に失敗して、次のようなエラーメッセージが表示されることがあります。

PF_KEY error: type=ADD, errno=22:
Invalid argument, diagnostic  code=40:
Unsupported authentication algorithm

このエラーは、IPsec サービスを必要とする Sun Fire E25K システムで DR を使用する場合などに発生することがあります。

回避方法: IPsec サービスを使用する処理を実行する前に、新しい SMF マニフェストを多数インポートするブートを実行してから次の手順を実行します。

1. ブート後に、次のコマンドを実行します。

   ipsecalgs -s

2. システムに /etc/inet/secret/ipseckeys が存在する場合は、次のコマンドも実行します。

   ipseckey -f /etc/inet/secret/ipseckeys

これで、Sun Fire E25K システム上で DR を使用するなど、IPsec セキュリティーアソシエーションを作成する処理を実行できる状態になります。

この手順を実行する必要があるのは、ブート時に新しい SMF マニフェストが多数インポートされる場合だけです。