Copyright © 2013, Oracle et/ou ses affiliés. Tous droits réservés. Legal Notices
Cette section fournit des exemples qui montrent comment configurer et activer IPSec sur un serveur Sun Ray et un client Sun Ray. Pour tous les exemples, les informations de configuration suivantes sont utilisées :
Client Sun Ray - 10.25.198.65
Serveur Sun Ray - 10.213.21.168
sunray_ike.conf : fichier de configuration IKE Sun Ray
ikeload : fichier de configuration distant
cacert.pem : fichier de certificat racine
mycert.pem : fichier de certificat
mykey.pem : fichier de clés secrètes
L'exemple suivant illustre la configuration d'ipsec l'aide d'une clé pré-partagée sur un serveur Sun Ray exécutant Oracle Linux 5 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Modifiez le fichier /etc/racoon/racoon.conf comme suit :
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
compression_algorithm deflate ;
}
Modifiez le fichier /etc/racoon/psk.txt pour inclure la clé pré-partagée.
<ip-address_of_Sun_Ray_Client> <key> 10.25.198.65 0x12345678
Configurez le SPD.
# setkey -c << EOF spdadd 10.213.21.168 10.25.198.65 any -P out ipsec esp/transport//require; spdadd 10.25.198.65 10.213.21.168 any -P in ipsec esp/transport//require;
Notez que 10.213.21.168 correspond à l'adresse IP du serveur Sun Ray et 10.25.198.65 correspond à l'adresse IP du client Sun Ray.
Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
}Activez IPsec sur le serveur le cas échéant.
# racoon
Cette étape manuelle peut être inutile si IPsec est déjà activé sur le serveur. Vous pouvez modifier le niveau de débogage en ajoutant une ou plusieurs options -d, telles que -ddd.
L'exemple suivant illustre la configuration d'IPsec l'aide de certificats sur un serveur Sun Ray exécutant Oracle Linux 5 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Copiez les fichiers cacert.pem, mycert.pem et mykey.pem sur les répertoires /etc/racoon/certs et /tftpboot.
Modifiez le fichier /etc/racoon/racoon.conf comme suit :
path include "/etc/racoon";
path certificate "/etc/racoon/certs";
remote anonymous {
exchange_mode main;
generate_policy on;
passive on;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
my_identifier asn1dn;
peers_identifier asn1dn;
proposal_check claim;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group modp1024;
}
}
sainfo anonymous {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
lifetime time 8 hour;
compression_algorithm deflate;
} Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm md5;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
pfs_group modp1024;
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} Créez un fichier de configuration distant appelé ikeload avec les contenus suivants et enregistrez-le sur le répertoire /tftpboot.
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
Activez IPsec sur le serveur le cas échéant.
# racoon
Cette étape manuelle peut être inutile si IPsec est déjà activé sur le serveur. Vous pouvez modifier le niveau de débogage en ajoutant une ou plusieurs options -d, telles que -ddd.
L'exemple suivant illustre la configuration d'IPsec l'aide d'une clé pré-partagée sur un serveur Sun Ray exécutant Oracle Linux 6 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Si ce n'est pas déjà fait, installez le RPM openswan-2.6.32-16.el6.x86_64.rpm.
Placez hors commentaire la ligne suivante dans le fichier /etc/ipsec.conf :
include /etc/ipsec.d/*.conf
Assurez-vous que le fichier /etc/ipsec.secrets ne contient que la ligne suivante :
include /etc/ipsec.d/*.secrets
Créez le fichier /etc/ipsec.d/shared.conf avec les contenus suivants qui comprend les adresses IP du serveur Sun Ray et du client Sun Ray pour les entrées left et right, respectivement :
conn new
left=10.213.21.168
right=10.25.198.65
authby=secret
type=transport
ike=3des-md5;modp1024
esp=3des-md5
keyexchange=ike
pfs=no
rekey=no
aggrmode=no
phase2=esp
salifetime=8h
auto=add
Créez le fichier /etc/ipsec.d/shared.secrets avec les contenus suivants qui comprend une entrée contenant les adresses IP du serveur Sun Ray et du client Sun Ray ainsi que la clé pré-partagée :
10.213.21.168 10.25.198.65: PSK "12345678"
Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
}Démarrez les services IPsec.
# /etc/init.d/ipsec start
L'exemple suivant illustre la configuration d'IPsec l'aide de certificats sur un serveur Sun Ray exécutant Oracle Linux 6 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Si ce n'est pas déjà fait, installez le RPM openswan-2.6.32-16.el6.x86_64.rpm.
Placez hors commentaire la ligne suivante dans le fichier /etc/ipsec.conf :
include /etc/ipsec.d/*.conf
Assurez-vous que le fichier /etc/ipsec.secrets ne contient que la ligne suivante :
include /etc/ipsec.d/*.secrets
Créez le fichier /etc/ipsec.d/certs.conf avec les contenus suivants :
conn new1
left=10.213.21.168
right=%any
leftcert="server_certificate"
rightcert="client_certificate"
leftid=%fromcert
rightid=%fromcert
authby=rsasig
leftrsasigkey=%cert
type=transport
ike=aes-sha2_256;modp1024
phase2alg=aes-sha2_256
keyexchange=ike
keyingtries=3
pfs=no
rekey=no
aggrmode=no
phase2=esp
salifetime=8h
auto=add
L'entrée right=%any permet à tout client de se connecter à l'aide du certificat approprié.
Créez le fichier /etc/ipsec.d/certs.secrets avec les contenus suivants qui inclut le serveur Sun Ray :
%any : RSA 10.213.21.168
Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group modp1024;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} Créez un fichier de configuration distant appelé ikeload avec les contenus suivants et enregistrez-le sur le répertoire /tftpboot.
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
Démarrez les services IPsec.
# /etc/init.d/ipsec start
L'exemple suivant illustre la configuration d'ipsec l'aide d'une clé pré-partagée sur un serveur Sun Ray exécutant Oracle Solaris 10 ou Oracle Solaris 11 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Modifiez le fichier /etc/inet/ike/config comme suit :
p1_lifetime_secs 86400
p1_nonce_len 16
p2_lifetime_secs 28800
## Parameters that may also show up in rules.
p1_xform { auth_method preshared oakley_group 2 auth_alg sha1 encr_alg aes }
p2_pfs 0
### Now some rules...
{
label "SRSS Rule"
# Use whatever "host" (e.g. IP address) identity is appropriate
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p1_xform
{ auth_method preshared oakley_group 2 auth_alg sha encr_alg aes }
p2_pfs 0
} Modifiez le fichier /etc/inet/secret/ike.preshared pour inclure la clé pré-partagée.
{
localidtype IP
localid 10.213.21.168
remoteidtype IP
remoteid 10.25.198.65
key 12345678
}Configurez la politique IPsec en ajoutant la ligne suivante au fichier /etc/inet/ipsecinit.conf :
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs aes encr_auth_algs sha1}Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
proposal {
authentication_method pre_shared_key;
encryption_algorithm aes;
hash_algorithm sha1;
dh_group 2;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
authentication_algorithm hmac_sha1;
encryption_algorithm aes;
lifetime time 8 hour;
}Activez IPsec sur le serveur.
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
Vous pouvez utiliser la commande svcs | grep ipsec pour vérifier qu'IPsec est activé. Vous pouvez utiliser l'option -d de la commande in.iked pour la garder au premier plan et produire une sortie de débogage.
L'exemple suivant illustre la configuration d'IPsec l'aide de certificats sur un serveur Sun Ray exécutant Oracle Solaris 10 ou Oracle Solaris 11 ainsi que la préparation d'un fichier de configuration IKE pour le client Sun Ray.
Connectez-vous au serveur Sun Ray en tant que superutilisateur.
Copiez les fichiers cacert.pem, mycert.pem et mykey.pem sur les répertoires /etc/racoon/certs et /tftpboot.
Modifiez le fichier /etc/inet/ike/config comme suit :
####
cert_root "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray,
CN=First Last, MAILTO=first.last@company.com"
ignore_crls
p1_lifetime_secs 86400
p1_nonce_len 16
p2_lifetime_secs 28800
p1_xform { auth_method rsa_sig oakley_group 2 auth_alg sha encr_alg 3des }
p2_pfs 0
{
label "SRSS Rule"
local_id_type dn
local_id "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray, CN=server-fqdn"
remote_id ""
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p1_xform
{ auth_method rsa_sig oakley_group 2 auth_alg md5 encr_alg 3des }
p2_pfs 0
}
####
Configurez la politique IPsec en ajoutant la ligne suivante au fichier /etc/inet/ipsecinit.conf :
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs 3des encr_auth_algs sha1}Créez un fichier sunray_ike.conf pour le client Sun Ray avec le contenu suivant et enregistrez-le dans le répertoire /tftpboot.
remote anonymous {
exchange_mode main;
my_identifier asn1dn;
ca_type x509 "cacert.pem";
certificate_type x509 "mycert.pem" "mykey.pem";
proposal {
authentication_method rsasig;
encryption_algorithm 3des;
hash_algorithm md5;
dh_group 2;
}
lifetime time 24 hour;
proposal_check claim;
}
sainfo anonymous {
pfs_group modp1024;
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
lifetime time 8 hour;
} Créez un fichier de configuration distant appelé ikeload avec les contenus suivants et enregistrez-le sur le répertoire /tftpboot.
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
Activez IPsec sur le serveur.
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
Vous pouvez utiliser la commande svcs | grep ipsec pour vérifier qu'IPsec est activé. Vous pouvez utiliser l'option -d de la commande in.iked pour la garder au premier plan et produire une sortie de débogage.
Une fois que vous configurez IPsec sur le serveur Sun Ray, y compris en ajoutant le fichier de configuration IKE Sun Ray approprié et les certificats sur le répertoire /tftpboot, il ne reste que peu d'étapes pour configurer IPsec sur le client Sun Ray à l'aide de l'interface graphique de configuration. Les étapes suivantes poursuivent les exemples de la précédente configuration du serveur Sun Ray.
Ouvrez l'interface graphique de configuration sur le client Sun Ray.
Pour plus d'informations, reportez-vous à la Section 14.5.2, « Description des menus de l'Interface graphique de configuration ».
Chargez les fichiers de configuration sur le client Sun Ray à partir du répertoire /tftpboot du serveur :
Si Vous ne disposez que d'un fichier de configuration IKE Sun Ray à charger, sélectionnez Serveur/IPsec > Configuration du téléchargement et spécifiez le serveur et le fichier de configuration IKE. Pour les exemples pré-partagés de cette section, vous devez saisir 10.213.21.168/sunray_ike.conf pour remplir le fichier /ike/default.conf dans le microprogramme du client Sun Ray.
Si vous utilisez un fichier de configuration distant pour charger un nombre de fichiers, choisissez Avancé > Configuration de téléchargement et entrez le serveur et le fichier de configuration distant. Pour les exemples de certificat de cette section, vous devez saisir 10.213.21.168/ikeload pour remplir le fichier de configuration IKE et les fichiers de certificat dans le microprogramme du client Sun Ray.
Choisissez Server/IPsec.
Pour les exemples de clé pré-partagée de cette section, sélectionnez Gérer les clés pré-partagées pour créer la clé pré-partagée :
10.25.198.65 0x12345678
Vous pouvez également utiliser le fichier de configuration distant pour charger une clé pré-partagée.
Choisissez Activer IPsec et activez IPsec.
Quitter l'interface graphique de configuration
Après avoir configuré IPSec sur le serveur Sun Ray et le client Sun Ray, vous pouvez vérifier si IPsec fonctionne en relançant le client Sun Ray avec les icônes OSD activées. Si les icônes d'état du réseau OSD s'affichent avec la flèche vers le haut, IPsec doit fonctionner.
Pour vérifier si le trafic est en cours de chiffrement entre le serveur et le Sun Ray, utilisez un outil de contrôle du réseau (par exemple, snoop ou tcpdump) et vérifiez que les paquets visualisés utilisent le protocole ESP.
Copyright © 2013, Oracle et/ou ses affiliés. Tous droits réservés. Legal Notices