Ajout d'un nouvel homologue lors de l'utilisation de clés prépartagées dans IKEv2

Si vous ajoutez des entrées de stratégie IPsec à une configuration de travail entre des systèmes homologues, vous devez actualiser le service de stratégie IPsec. Il n'est pas nécessaire de reconfigurer ou de redémarrer IKE.

Si vous ajoutez un nouveau système homologue à la stratégie IPsec, vous devez modifier non seulement IPsec, mais aussi la configuration IKEv2.

Avant de commencer

Vous avez mis à jour le fichier ipsecinit.conf et actualisé la stratégie IPsec pour les systèmes homologues.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

1. Créez une règle pour la gestion des clés par IKEv2, pour le nouveau système qui utilise IPsec.
   1. Par exemple, sur le système enigma, ajoutez la règle suivante au fichier /etc/inet/ike/ikev2.config :

      # pfedit ikev2.config
      ## ikev2.config file on enigma, 192.168.116.16
      ...
      ## The rule to communicate with ada
      ##  Label must be unique
      {label "enigma-ada"
       auth_method preshared
       local_addr  192.168.116.16
       remote_addr 192.168.15.7
      }

      Pour plus d'informations sur les options de la commande pfedit, reportez-vous à la page de manuel pfedit(1M).

   2. Sur le système ada, ajoutez la règle suivante :

      ## ikev2.config file on ada, 192.168.15.7
      ...
      ## The rule to communicate with enigma
      {label "ada-enigma"
       auth_method preshared
       local_addr  192.168.15.7
       remote_addr 192.168.116.16
      }

2. (Facultatif) Sur chaque système, vérifiez la syntaxe du fichier.

   # /usr/lib/inet/in.ikev2d -c -f /etc/inet/ike/ikev2.config

3. Créez une clé prépartagée IKEv2 pour les systèmes homologues.
   1. Sur le système enigma, ajoutez les informations suivantes au fichier /etc/inet/ike/ikev2.preshared :

      # pfedit -s /etc/inet/ike/ikev2.preshared
      ## ikev2.preshared on enigma for the ada interface
      ...
      ## The rule to communicate with ada 
      ##  Label must match the label of the rule
      { label "enigma-ada"
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

      Pour plus d'informations sur les options de la commande pfedit, reportez-vous à la page de manuel pfedit(1M).

   2. Sur le système ada, ajoutez les informations suivantes au fichier ikev2.preshared :

      # ikev2.preshared on ada for the enigma interface
      # 
      { label "ada-enigma"
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. Sur chaque système, lisez les modifications dans le noyau.
   • Si le service est activé, actualisez-le.

     # svcadm refresh ikev2

   • Si le service n'est pas activé, activez-le .

     # svcadm enable ikev2

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.