Mise à jour d'IKEv1 pour un nouveau système homologue

Si vous ajoutez des entrées de stratégie IPsec à une configuration de travail entre des systèmes homologues, vous devez actualiser le service de stratégie IPsec. Il n'est pas nécessaire de reconfigurer ou de redémarrer IKEv1.

Si vous ajoutez un nouveau système homologue à la stratégie IPsec, vous devez modifier non seulement IPsec, mais aussi la configuration IKEv1.

Avant de commencer

Vous avez mis à jour le fichier ipsecinit.conf et actualisé la stratégie IPsec pour les systèmes homologues.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

1. Créez une règle pour la gestion des clés par IKEv1, pour le nouveau système qui utilise IPsec.
   1. Par exemple, sur le système enigma, ajoutez la règle suivante au fichier /etc/inet/ike/config :

      ### ike/config file on enigma, 192.168.116.16
       
      ## The rule to communicate with ada
      
      {label "enigma-to-ada"
       local_addr 192.168.116.16
       remote_addr 192.168.15.7
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      	}

   2. Sur le système ada, ajoutez la règle suivante :

      ### ike/config file on ada, 192.168.15.7
       
      ## The rule to communicate with enigma
      
      {label "ada-to-enigma"
       local_addr 192.168.15.7
       remote_addr 192.168.116.16
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      }

2. Créez une clé prépartagée IKEv1 pour les systèmes homologues.
   1. Sur le système enigma, ajoutez les informations suivantes au fichier /etc/inet/secret/ike.preshared :

      ## ike.preshared on enigma for the ada interface
      ##
      { localidtype IP
        localid 192.168.116.16
        remoteidtype IP
        remoteid 192.168.15.7
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

   2. Sur le système ada, ajoutez les informations suivantes au fichier ike.preshared :

      ## ike.preshared on ada for the enigma interface
      ##
      { localidtype IP
        localid 192.168.15.7
        remoteidtype IP
        remoteid 192.168.116.16
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

3. Sur chaque système, actualisez le service ike.

   # svcadm refresh ike:default

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.