このセクションで説明する例は、Sun Ray サーバーと Sun Ray クライアントで IPsec を構成して有効にする方法を示します。すべての例で、次の構成情報が使用されます。
Sun Ray クライアント - 10.25.198.65
Sun Ray サーバー - 10.213.21.168
sunray_ike.conf
- Sun Ray IKE 構成ファイル
ikeload
- リモート構成ファイル
cacert.pem
- ルート証明書ファイル
mycert.pem
- 証明書ファイル
mykey.pem
- 秘密鍵ファイル
次の例は、Oracle Linux 5 が動作している Sun Ray サーバーで事前共有鍵を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
/etc/racoon/racoon.conf
ファイルを次のように編集します。
path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; remote anonymous { exchange_mode main; proposal { authentication_method pre_shared_key; encryption_algorithm 3des; hash_algorithm sha1; dh_group modp1024; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; compression_algorithm deflate ; }
事前共有鍵が含まれるように /etc/racoon/psk.txt
ファイルを編集します。
<ip-address_of_Sun_Ray_Client> <key> 10.25.198.65 0x12345678
SPD を構成します。
# setkey -c << EOF spdadd 10.213.21.168 10.25.198.65 any -P out ipsec esp/transport//require; spdadd 10.25.198.65 10.213.21.168 any -P in ipsec esp/transport//require;
10.213.21.168 が Sun Ray サーバーの IP アドレスであり、10.25.198.65 が Sun Ray クライアントの IP アドレスです。
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; proposal { authentication_method pre_shared_key; encryption_algorithm 3des; hash_algorithm sha1; dh_group modp1024; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; }
必要に応じて、サーバーで IPsec を有効にします。
# racoon
IPsec がサーバーですでに有効になっている場合、この手動による手順は必要ありません。デバッグレベルを変更するには、1 つまたは複数の -d
オプション (-ddd
など) を追加します。
次の例は、Oracle Linux 5 が動作している Sun Ray サーバーで証明書を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
cacert.pem
、mycert.pem
、および mykey.pem
ファイルを /etc/racoon/certs
および /tftpboot
ディレクトリにコピーします。
/etc/racoon/racoon.conf
ファイルを次のように編集します。
path include "/etc/racoon"; path certificate "/etc/racoon/certs"; remote anonymous { exchange_mode main; generate_policy on; passive on; ca_type x509 "cacert.pem"; certificate_type x509 "mycert.pem" "mykey.pem"; my_identifier asn1dn; peers_identifier asn1dn; proposal_check claim; lifetime time 24 hour; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group modp1024; } } sainfo anonymous { pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_sha1; lifetime time 8 hour; compression_algorithm deflate; }
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; my_identifier asn1dn; ca_type x509 "cacert.pem"; certificate_type x509 "mycert.pem" "mykey.pem"; proposal { authentication_method rsasig; encryption_algorithm 3des; hash_algorithm md5; dh_group modp1024; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { pfs_group modp1024; authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; }
次の内容を含む ikeload
という名前のリモート構成ファイルを作成し、/tftpboot
ディレクトリに保存します。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
必要に応じて、サーバーで IPsec を有効にします。
# racoon
IPsec がサーバーですでに有効になっている場合、この手動による手順は必要ありません。デバッグレベルを変更するには、1 つまたは複数の -d
オプション (-ddd
など) を追加します。
次の例は、Oracle Linux 6 が動作している Sun Ray サーバーで事前共有鍵を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
openswan-2.6.32-16.el6.x86_64.rpm
RPM をまだインストールしていない場合はインストールします。
/etc/ipsec.conf
ファイルで、次の行のコメントを解除します。
include /etc/ipsec.d/*.conf
/etc/ipsec.secrets
ファイルに次の行のみが含まれていることを確認します。
include /etc/ipsec.d/*.secrets
次の内容 (Sun Ray サーバーと Sun Ray クライアントの IP アドレスがそれぞれ left
と right
のエントリに指定されている) の /etc/ipsec.d/shared.conf
ファイルを作成します。
conn new left=10.213.21.168 right=10.25.198.65 authby=secret type=transport ike=3des-md5;modp1024 esp=3des-md5 keyexchange=ike pfs=no rekey=no aggrmode=no phase2=esp salifetime=8h auto=add
次の内容 (Sun Ray サーバーと Sun Ray クライアントの IP アドレス、および事前共有鍵が指定されたエントリが含まれている) の /etc/ipsec.d/shared.secrets
ファイルを作成します。
10.213.21.168 10.25.198.65: PSK "12345678"
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; proposal { authentication_method pre_shared_key; encryption_algorithm 3des; hash_algorithm sha1; dh_group modp1024; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; }
IPsec サービスを開始します。
# /etc/init.d/ipsec start
次の例は、Oracle Linux 6 が動作している Sun Ray サーバーで証明書を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
openswan-2.6.32-16.el6.x86_64.rpm
RPM をまだインストールしていない場合はインストールします。
/etc/ipsec.conf
ファイルで、次の行のコメントを解除します。
include /etc/ipsec.d/*.conf
/etc/ipsec.secrets
ファイルに次の行のみが含まれていることを確認します。
include /etc/ipsec.d/*.secrets
次の内容を含む /etc/ipsec.d/certs.conf
ファイルを作成します。
conn new1 left=10.213.21.168 right=%any leftcert="server_certificate
" rightcert="client_certificate
" leftid=%fromcert rightid=%fromcert authby=rsasig leftrsasigkey=%cert type=transport ike=aes-sha2_256;modp1024 phase2alg=aes-sha2_256 keyexchange=ike keyingtries=3 pfs=no rekey=no aggrmode=no phase2=esp salifetime=8h auto=add
right=%any
エントリを使用すると、どのクライアントも適切な証明書で接続できます。
次の内容 (Sun Ray サーバーが指定されている) を含む /etc/ipsec.d/certs.secrets
ファイルを作成します。
%any : RSA 10.213.21.168
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; my_identifier asn1dn; ca_type x509 "cacert.pem"; certificate_type x509 "mycert.pem" "mykey.pem"; proposal { authentication_method rsasig; encryption_algorithm 3des; hash_algorithm sha1; dh_group modp1024; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; }
次の内容を含む ikeload
という名前のリモート構成ファイルを作成し、/tftpboot
ディレクトリに保存します。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
IPsec サービスを開始します。
# /etc/init.d/ipsec start
次の例は、Oracle Solaris 10 または Oracle Solaris 11 が動作している Sun Ray サーバーで事前共有鍵を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
/etc/inet/ike/config
ファイルを次のように編集します。
p1_lifetime_secs 86400 p1_nonce_len 16 p2_lifetime_secs 28800 ## Parameters that may also show up in rules. p1_xform { auth_method preshared oakley_group 2 auth_alg sha1 encr_alg aes } p2_pfs 0 ### Now some rules... { label "SRSS Rule" # Use whatever "host" (e.g. IP address) identity is appropriate local_addr 0.0.0.0/0 remote_addr 0.0.0.0/0 p1_xform { auth_method preshared oakley_group 2 auth_alg sha encr_alg aes } p2_pfs 0 }
事前共有鍵が含まれるように /etc/inet/secret/ike.preshared
ファイルを編集します。
{ localidtype IP localid 10.213.21.168 remoteidtype IP remoteid 10.25.198.65 key 12345678 }
次の行を /etc/inet/ipsecinit.conf
ファイルに追加することで、IPsec ポリシーを構成します。
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs aes encr_auth_algs sha1}
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; proposal { authentication_method pre_shared_key; encryption_algorithm aes; hash_algorithm sha1; dh_group 2; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { authentication_algorithm hmac_sha1; encryption_algorithm aes; lifetime time 8 hour; }
サーバーで IPsec を有効にします。
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
svcs | grep ipsec コマンドを使用すると、IPsec が有効になっていることを確認できます。in.iked コマンドの -d
オプションを使用すると、フォアグラウンドの状態のまま、デバッグ出力を生成できます。
次の例は、Oracle Solaris 10 または Oracle Solaris 11 が動作している Sun Ray サーバーで証明書を使用して IPsec を構成し、Sun Ray クライアント用の IKE 構成ファイルを準備する方法を示しています。
Sun Ray サーバーのスーパーユーザーになります。
cacert.pem
、mycert.pem
、および mykey.pem
ファイルを /etc/racoon/certs
および /tftpboot
ディレクトリにコピーします。
/etc/inet/ike/config
ファイルを次のように編集します。
####
cert_root "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray,
CN=First Last, MAILTO=first.last@company.com"
ignore_crls
p1_lifetime_secs 86400
p1_nonce_len 16
p2_lifetime_secs 28800
p1_xform { auth_method rsa_sig oakley_group 2 auth_alg sha encr_alg 3des }
p2_pfs 0
{
label "SRSS Rule"
local_id_type dn
local_id "C=US, L=Redwood Shores, ST=CA, O=Company, OU=Sun Ray, CN=server-fqdn
"
remote_id ""
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p1_xform
{ auth_method rsa_sig oakley_group 2 auth_alg md5 encr_alg 3des }
p2_pfs 0
}
####
次の行を /etc/inet/ipsecinit.conf
ファイルに追加することで、IPsec ポリシーを構成します。
{ laddr 10.213.21.168 raddr 10.25.198.65 } ipsec {encr_algs 3des encr_auth_algs sha1}
次の内容を含む sunray_ike.conf
ファイルを Sun Ray クライアント用に作成し、/tftpboot
ディレクトリに保存します。
remote anonymous { exchange_mode main; my_identifier asn1dn; ca_type x509 "cacert.pem"; certificate_type x509 "mycert.pem" "mykey.pem"; proposal { authentication_method rsasig; encryption_algorithm 3des; hash_algorithm md5; dh_group 2; } lifetime time 24 hour; proposal_check claim; } sainfo anonymous { pfs_group modp1024; authentication_algorithm hmac_sha1; encryption_algorithm 3des; lifetime time 8 hour; }
次の内容を含む ikeload
という名前のリモート構成ファイルを作成し、/tftpboot
ディレクトリに保存します。
/certs/cacert.pem=cacert.pem /keys/mykey.pem=mykey.pem /certs/mycert.pem=mycert.pem /ike/default.conf=sunray_ike.conf
サーバーで IPsec を有効にします。
# svcadm restart svc:/network/ipsec/ipsecalgs:default # svcadm restart svc:/network/ipsec/policy:default # /usr/lib/inet/in.iked
svcs | grep ipsec コマンドを使用すると、IPsec が有効になっていることを確認できます。in.iked コマンドの -d
オプションを使用すると、フォアグラウンドの状態のまま、デバッグ出力を生成できます。
Sun Ray サーバーで IPsec の構成 (適切な Sun Ray IKE 構成ファイルおよび証明書を /tftpboot
ディレクトリに追加することを含む) を行なったら、残された手順は Sun Ray クライアントで構成 GUI を使用して IPsec を構成することのみです。次の手順は、前の Sun Ray サーバーの構成例に続くものです。
Sun Ray クライアントで構成 GUI を開きます。
詳細は、「構成 GUI メニューの説明」を参照してください。
Sun Ray クライアントでサーバーの /tftpboot
ディレクトリから構成ファイルをロードします。
Sun Ray IKE 構成ファイルのみをロードする場合は、「サーバー/IPsec」 > 「構成のダウンロード」
を選択し、サーバーと IKE 構成ファイルを指定します。このセクションの事前共有の例では、10.213.21.168/sunray_ike.conf
を入力して、/ike/default.conf
ファイルを Sun Ray クライアントのファームウェアに取り込みます。
リモート構成ファイルを使用していくつかのファイルをロードする場合は、「詳細」 > 「構成のダウンロード」
を選択し、サーバーとリモート構成ファイルを入力します。このセクションの証明書の例では、10.213.21.168/ikeload
を入力して、IKE 構成ファイルと証明書ファイルを Sun Ray クライアントのファームウェアに取り込みます。
「サーバー/IPsec
」を選択します。
このセクションの事前共有鍵の例では、「事前共有鍵の管理
」を選択して事前共有鍵を作成します。
10.25.198.65 0x12345678
リモート構成ファイルを使用して事前共有鍵をロードすることもできます。
「IPsec の有効化
」を選択して、IPsec を有効にします。
構成 GUI を終了します。
Sun Ray サーバーと Sun Ray クライアントでの IPsec の構成が終了したあとで、IPsec が動作しているかどうかを確認するには、OSD アイコンを有効にした状態で Sun Ray クライアントをリブートします。IPsec の OSD ネットワークステータスアイコンが上矢印とともに表示された場合、IPsec は動作しています。
サーバーと Sun Ray の間でトラフィックが暗号化されているかどうかを確認するには、ネットワーク監視ツール (snoop や tcpdump など) を使用して、確認されたパケットが ESP プロトコルを使用していることを確かめます。