Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
Utilisation de la structure cryptographique (liste des tâches)
Protection des fichiers avec la structure cryptographique (tâches)
Protection de fichiers avec la structure cryptographique (liste des tâches)
Procédure de génération d'une clé symétrique à l'aide de la commande dd
Procédure de génération d'une clé symétrique à l'aide de la commande pktool
Procédure de calcul d'une synthèse d'un fichier
Procédure de calcul du code MAC d'un fichier
Procédure de chiffrement et déchiffrement d'un fichier
Administration de la structure cryptographique (tâches)
Administration de la structure cryptographique (liste des tâches)
Procédure d'établissement de la liste des fournisseurs disponibles
Procédure d'ajout d'un fournisseur de logiciels
Procédure d'interdiction de l'utilisation d'un mécanisme au niveau de l'utilisateur
Procédure d'interdiction de l'utilisation d'un fournisseur de logiciels noyau
Procédure d'établissement de la liste des fournisseurs de matériel
Procédure de désactivation des mécanismes et fonctions d'un fournisseur de matériel
Procédure d'actualisation ou de redémarrage de tous les services cryptographiques
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Cette section explique l'administration des fournisseurs de logiciels et des fournisseurs de matériel dans la structure cryptographique. L'utilisation de ces fournisseurs peut être empêchée lorsque cela est souhaitable. Par exemple, vous pouvez désactiver l'implémentation d'un algorithme d'un seul fournisseur de logiciels. Ensuite, vous pouvez forcer le système à utiliser l'algorithme d'un autre fournisseur de logiciels.
La liste des tâches suivante présente les procédures permettant d'administrer les fournisseurs de logiciels et matériels dans la structure cryptographique.
|
La structure cryptographique fournit des algorithmes pour plusieurs types de consommateurs :
Les fournisseurs au niveau de l'utilisateur offrent une interface de chiffrement PKCS #11 aux applications liées à la bibliothèque libpkcs11.
Les fournisseurs de logiciels noyau offrent des algorithmes pour IPsec, Kerberos et d'autres composants de noyau Oracle Solaris
Les fournisseurs de matériel noyau offrent des algorithmes disponibles pour les consommateurs de noyau et les applications via la bibliothèque pkcs11_kernel.
Remarque - Le contenu et le format de la liste de fournisseurs varient selon les versions d'Oracle Solaris. Exécutez la commande cryptoadm list sur votre système pour afficher les fournisseurs que votre système prend en charge.
Seuls les mécanismes au niveau de l'utilisateur sont disponibles pour les utilisateurs standard.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Provider: /usr/lib/security/$ISA/pkcs11_tpm.so Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand Kernel hardware providers: ncp/0
Tous les mécanismes sont répertoriés dans la sortie suivante. Cependant, certains de ces mécanismes peuvent ne pas être disponibles pour l'utilisation. Pour répertorier uniquement les mécanismes approuvés pour l'utilisation par l'administrateur, reportez-vous à l'Exemple 12-20.
La sortie est tronquée à des fins d'affichage.
% cryptoadm list -m User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL ... CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE Provider: /usr/lib/security/$ISA/pkcs11_tpm.so /usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented. Kernel software providers: ========================== des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC arcfour: CKM_RC4 blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1 sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL sha2: CKM_SHA256,CKM_SHA256_HMAC,CKM_SHA256_HMAC_GENERAL,CKM_SHA384,CKM_SHA384_HMAC, CKM_SHA384_HMAC_GENERAL,CKM_SHA512,CKM_SHA512_HMAC,CKM_SHA512_HMAC_GENERAL md4: CKM_MD4 md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS, CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS swrand: No mechanisms presented. Kernel hardware providers: ========================== ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN, CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN, CKM_ECDH1_DERIVE,CKM_ECDSA
Exemple 12-19 Recherche de mécanismes cryptographiques existants
Dans l'exemple suivant, tous les mécanismes offerts par la bibliothèque au niveau de l'utilisateur, pkcs11_softtoken, sont répertoriés.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL CKM_DES_MAC … CKM_ECDSA CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE
Exemple 12-20 Recherche de mécanismes cryptographiques disponibles
La stratégie détermine les mécanismes utilisables. L'administrateur définit la stratégie. Un administrateur peut choisir de désactiver des mécanismes à partir d'un fournisseur particulier. L'option -p affiche la liste des mécanismes autorisés par la stratégie définie par l'administrateur.
% cryptoadm list -p User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled. /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_MD5. random is enabled. /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: ========================== des: all mechanisms are enabled. aes: all mechanisms are enabled. arcfour: all mechanisms are enabled. blowfish: all mechanisms are enabled. ecc: all mechanisms are enabled. sha1: all mechanisms are enabled. sha2: all mechanisms are enabled. md4: all mechanisms are enabled. md5: all mechanisms are enabled. rsa: all mechanisms are enabled. swrand: random is enabled. Kernel hardware providers: ========================== ncp/0: all mechanisms are enabled. random is enabled.
Exemple 12-21 Détermination des fonctions exécutées par les différents mécanismes cryptographiques
Les mécanismes exécutent des fonctions cryptographiques spécifiques, telles que la signature ou la génération de clé. Les options -v -m affichent tous les mécanismes et leurs fonctions.
Dans cet exemple, l'administrateur souhaite déterminer les fonctions pour lesquelles le mécanisme CKM_ECDSA* peut être utilisé.
% cryptoadm list -vm User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so ... CKM_ECDSA 112 571 . . . . X . X . . . . . . CKM_ECDSA_SHA1 112 571 . . . . X . X . . . . . . ...
La liste indique que ces mécanismes au niveau de l'utilisateur sont disponibles à partir de la bibliothèque /usr/lib/security/$ISA/pkcs11_softtoken.so.
Chaque élément dans une entrée représente un élément d'information sur le mécanisme. Pour ces mécanismes ECC, la liste indique les éléments suivants :
Longueur minimale : 112 octets
Longueur maximale : 571 octets
Matériel : n'est pas disponible sur le matériel.
Chiffrer : n'est pas utilisé pour chiffrer les données.
Déchiffrer : n'est pas utilisé pour déchiffrer les données.
Résumé : n'est pas utilisé pour créer des résumés de message.
Signer : est utilisé pour signer les données.
Signer + récupérer : n'est pas utilisé pour signer les données, lorsque les données peuvent être récupérées à partir de la signature.
Vérifier : est utilisé pour vérifier les données signées.
Vérifier + récupérer : n'est pas utilisé pour vérifier les données qui peuvent être récupérées à partir de la signature.
Génération de clé : n'est pas utilisé pour générer une clé privée.
Génération de paire : n'est pas utilisé pour générer une paire de clés.
Encapsuler : n'est pas utilisé pour encapsuler c'est-à-dire, chiffrer, une clé existante.
Désencapsuler : n'est pas utilisé pour désencapsuler une clé encapsulée.
Dériver : n'est pas utilisé pour dériver une nouvelle clé à partir d'une clé de base.
Avant de commencer
Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: des aes arcfour blowfish sha1 sha2 md4 md5 rsa swrand Kernel hardware providers: ncp/0
Le logiciel du fournisseur existant a reçu un certificat émis par Oracle.
Vous devez actualiser les fournisseurs si vous avez ajouté un fournisseur de logiciels ou si vous avez ajouté un matériel et spécifié une stratégie pour ce matériel.
# svcadm refresh svc:/system/cryptosvc
Dans ce cas, un nouveau fournisseur de logiciels noyau a été installé.
# cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand sha3 <-- added provider …
Exemple 12-22 Ajout d'un fournisseur de logiciels au niveau de l'utilisateur
Dans l'exemple suivant, une bibliothèque PKCS 11 signée est installée.
# pkgadd -d /cdrom/cdrom0/SolarisNew Answer the prompts # svcadm refresh system/cryptosvc # cryptoadm list user-level providers: ========================== /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so /opt/lib/$ISA/libpkcs11.so.1 <-- added provider
Les développeurs qui testent une bibliothèque avec la structure cryptographique peuvent installer la bibliothèque manuellement.
# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1
Si certains des mécanismes cryptographiques provenant d'un fournisseur de bibliothèques ne doivent pas être utilisés, vous pouvez supprimer les mécanismes sélectionnés. Cette procédure utilise les mécanismes DES de la bibliothèque pkcs11_softtoken comme un exemple.
Avant de commencer
Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN, …
$ cryptoadm list -p user-level providers: ===================== … /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled. …
$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
Exemple 12-23 Activation d'un mécanisme d'un fournisseur de logiciels au niveau de l'utilisateur
Dans l'exemple suivant, un mécanisme DES désactivé est de nouveau rendu disponible pour l'utilisation.
$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, … $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled. $ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_ECB $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
Exemple 12-24 Activation de tous les mécanismes d'un fournisseur de logiciels au niveau de l'utilisateur
Dans l'exemple suivant, tous les mécanismes de la bibliothèque au niveau de l'utilisateur sont activés.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled.
Exemple 12-25 Suppression définitive de la disponibilité d'un fournisseur de logiciels au niveau de l'utilisateur
Dans l'exemple suivant, la bibliothèque libpkcs11.so.1 est supprimée.
$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1 $ cryptoadm list user-level providers: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so kernel software providers: …
Si la structure cryptographique fournit plusieurs modes d'un fournisseur tel que AES, vous pouvez supprimer un mécanisme lent ou corrompu. Cette procédure utilise l'algorithme AES comme exemple.
Avant de commencer
Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB.
Exemple 12-26 Activation d'un mécanisme d'un fournisseur de logiciels noyau
Dans l'exemple suivant, un mécanisme AES désactivé est de nouveau rendu disponible pour l'utilisation.
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
Exemple 12-27 Suppression temporaire de la disponibilité d'un fournisseur de logiciels noyau
Dans l'exemple suivant, l'utilisation du fournisseur AES est temporairement rendue impossible. La sous-commande unload est utile pour empêcher le chargement automatique d'un fournisseur pendant que le fournisseur est en cours de désinstallation. Par exemple, la sous-commande unload peut être utilisée lors de l'installation d'un patch qui affecte le fournisseur.
$ cryptoadm unload provider=aes
$ cryptoadm list … Kernel software providers: des aes (inactive) arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Le fournisseur AES reste indisponible jusqu'à l'actualisation de la structure cryptographique.
$ svcadm refresh system/cryptosvc
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Si un consommateur de noyau utilise le fournisseur de logiciels noyau, le logiciel n'est pas déchargé. Un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.
Exemple 12-28 Suppression définitive de la disponibilité du fournisseur de logiciels
Dans l'exemple suivant, l'utilisation du fournisseur AES est définitivement rendue impossible. Une fois supprimé, le fournisseur AES n'apparaît plus dans la liste des stratégies des fournisseurs de logiciels noyau.
$ cryptoadm uninstall provider=aes
$ cryptoadm list … Kernel software providers: des arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Si un consommateur de noyau utilise ce fournisseur de logiciels noyau, un message d'erreur s'affiche et le fournisseur continue d'être disponible pour l'utilisation.
Exemple 12-29 Réinstallation d'un fournisseur de logiciels noyau supprimé
Dans l'exemple suivant, le fournisseur de logiciels noyau AES est réinstallé.
$ cryptoadm install provider=aes \ mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Les fournisseurs de matériel sont automatiquement détectés et chargés. Pour plus d'informations, reportez-vous à la page de manuel driver.conf(4).
Avant de commencer
Lorsque du matériel doit être utilisé au sein de la structure cryptographique, le matériel s'enregistre sur la SPI dans le noyau. La structure vérifie que le pilote matériel est signé. Plus précisément, la structure vérifie que le fichier d'objet du pilote est signé au moyen d'un certificat émis par Sun.
Par exemple, la carte Sun Crypto Accelerator 6000 (mca), le pilote NCP pour l'accélérateur cryptographique sur les processeurs UltraSPARC T1 et T2 (ncp) et le pilote n2cp pour les processeurs UltraSPARC T2 (n2cp) connectent les mécanismes matériels à la structure.
Pour plus d'informations sur l'obtention de la signature pour votre fournisseur, reportez-vous à la section Signatures binaires pour les logiciels tiers.
% cryptoadm list … kernel hardware providers: ncp/0
% cryptoadm list -m provider=ncp/0 ncp/0: CKM_DSA CKM_RSA_X_509 ... CKM_ECDH1_DERIVE CKM_ECDSA
% cryptoadm list -p provider=ncp/0 ncp/0: all mechanisms are enabled.
Vous pouvez désactiver de façon sélective des mécanismes et la fonction de nombres aléatoires à partir d'un fournisseur de matériel. Pour les réactiver, reportez-vous à l'Exemple 12-30. Le matériel de cet exemple, la carte Sun Crypto Accelerator 1000, fournit un générateur de nombres aléatoires.
Avant de commencer
Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Répertoriez le fournisseur de matériel.
# cryptoadm list ... Kernel hardware providers: dca/0
# cryptoadm list -m provider=dca/0 dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC random is enabled. # cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is disabled.
Exemple 12-30 Activation des mécanismes et fonctions sur un fournisseur de matériel
Dans les exemples suivants, les mécanismes désactivés sur un élément matériel sont activés individuellement.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB
. random is enabled. # cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB. random is enabled.
Dans l'exemple ci-dessous, seul le générateur aléatoire est activé.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is enabled.
Dans l'exemple ci-dessous, seuls les mécanismes sont activés. Le générateur aléatoire reste désactivé.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
Dans l'exemple suivant, toutes les fonctions et tous les mécanismes de la carte sont activés.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB. random is disabled. # cryptoadm enable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled.
Par défaut, la structure cryptographique est activée. Lorsque le démon kcfd échoue pour une raison quelconque, l'utilitaire de gestion des services peut être utilisé pour redémarrer les services cryptographiques. Pour plus d'informations, reportez-vous aux pages de manuel smf(5) et svcadm(1M). Pour connaître l'effet du redémarrage des services cryptographiques sur les zones, reportez-vous à la section Services cryptographiques et zones.
Avant de commencer
Le profil de droits Crypto Management (gestion de la cryptographie) doit vous avoir été attribué.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
% svcs cryptosvc STATE STIME FMRI offline Dec_09 svc:/system/cryptosvc:default
# svcadm enable svc:/system/cryptosvc
Exemple 12-31 Actualisation des services cryptographiques
Dans l'exemple suivant, les services cryptographiques sont actualisés dans la zone globale. Par conséquent, la stratégie de cryptographie au niveau du noyau dans chaque zone non globale est également actualisée.
# svcadm refresh system/cryptosvc