Cette procédure correspond à la configuration suivante :
Les systèmes reçoivent des adresses IP statiques et exécutent le profil de configuration réseau DefaultFixed. Si la commande netadm list renvoie Automatic, reportez-vous à la page de manuel netcfg(1M) pour plus d'informations.
Les systèmes s'appellent enigma et partym.
Chaque système dispose d'une adresse IP. Il peut d'agir d'une adresse IPv4, IPv6 ou les deux. Cette procédure utilise des adresses IPv4.
Chaque système est une zone globale ou une zone en mode IP exclusif. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.
Chaque système chiffre le trafic avec l'algorithme AES et l'authentifie avec SHA-2.
Chaque système utilise des associations de sécurité partagées (SA, Security Associations).
Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.
Avant de commencer
Un utilisateur disposant des droits spécifiques peut exécuter les commandes suivantes sans être utilisateur root :
Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).
Dans ce rôle administratif, vous pouvez modifier les fichiers système IPsec et créer des clés à l'aide de la commande pfedit.
Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier. Reportez-vous à l'Example 7–7.
Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
Cette étape permet au service de noms local de résoudre les noms de service des adresses IP sans dépendre d'un service de noms en réseau.
## Secure communication with enigma 192.168.116.16 enigma
## Secure communication with partym 192.168.13.213 partym
Le nom de fichier est /etc/inet/ipsecinit.conf. Vous en trouverez un exemple dans le fichier /etc/inet/ipsecinit.sample.
# pfedit /etc/inet/ipsecinit.conf
La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Etant donné que le mot-clé dir n'est pas utilisé, la stratégie s'applique aux paquets entrants et sortants.
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Utilisez l'une des procédures décrites à la section Configuration d'IKEv2. La syntaxe du fichier de configuration IKE est décrite à la page de manuel ikev2.config(4). Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, reportez-vous à la section Configuration d'IKEv1 et à la page de manuel ike.config(4).
% pfbash # /usr/sbin/ipsecconf -c /etc/inet/ipsecinit.conf
Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.
# svcadm refresh ipsec/policy:default
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.
# svcadm enable ipsec/policy:default
# svcadm enable ipsec/ike:ikev2
# svcadm restart ike:ikev2
Si vous avez configuré les clés manuellement à l'Step 4, suivez la procédure de la section Création manuelle de clés IPsec pour activer les clés.
La procédure est décrite à la section Vérification de la protection des paquets par IPsec.
Dans cet exemple, l'administrateur ayant le rôle root configure la stratégie IPsec et des clés sur deux systèmes en utilisant la commande ssh pour atteindre le second système. L'administrateur est défini à l'identique sur les deux systèmes. Pour plus d'informations, reportez-vous à la page de manuel ssh(1).
L'administrateur configure le premier système en effectuant les Step 1 à Step 5 de la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.
Dans une autre fenêtre de terminal, l'administrateur utilise le nom et l'ID utilisateur définis de façon identique pour se connecter à distance avec la commande ssh.
local-system % ssh -l jdoe other-system other-system # su - root Enter password: xxxxxxxx other-system #
Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés du second système en effectuant les étapes Step 1 à Step 7.
L'administrateur met fin à la session ssh.
other-system # exit local-system # exit
L'administrateur active la stratégie IPsec sur le premier système en suivant les procédures des étapesStep 6 et Step 7.
La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la communication est protégée par IPsec.
Exemple 7-2 Configuration de la stratégie Ipsec pour exécution en mode FIPS 140Dans cet exemple, l'administrateur configure la stratégie IPsec sur un système sur lequel FIPS 140 est activé pour qu'elle suive une stratégie de sécurité de site qui exige des algorithmes symétriques dont la longueur de clé est d'au moins 192 bits.
L'administrateur indique deux stratégies IPsec possibles. La première stratégie indique AES en mode CCM pour le chiffrement et l'authentification, et la seconde indique AES avec longueur de clé de 192 bits et 256 bits pour le chiffrement, et SHA384 pour l'authentification.
{laddr machine1 raddr machine2} ipsec {encr_algs aes-ccm(192...) sa shared} or ipsec {laddr machine1 raddr machine2} ipsec {encr_algs aes(192...) encr_auth_algs sha2(384) sa shared}