Dans cette procédure, vous devez configurer IPsec sur deux systèmes Trusted Extensions pour gérer les conditions suivantes :
Les deux systèmes, enigma et partym sont des systèmes Trusted Extensions multiniveau exécutés dans un réseau multiniveau.
Les données d'application sont cryptées et protégées contre toute modification non autorisée au sein du réseau.
L'étiquette de sécurité des données est visible dans le formulaire sous forme d'une option IP CALIPSO ou CIPSO à disposition des routeurs multiniveau et des périphériques de sécurité sur le chemin situé entre les systèmes enigma et partym.
Les étiquettes de sécurité échangées par enigma et partym sont protégées contre toute modification non autorisée.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Suivez les procédures décrites dans la section Etiquetage d'hôtes et de réseaux. Utilisez un modèle avec un type d'hôte cipso.
Pour la procédure, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l’aide d’IPsec du manuel Sécurisation du réseau dans Oracle Solaris 11.2 . Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.
Suivez la procédure décrite dans la section Configuration d’IKEv2 avec des clés prépartagées du manuel Sécurisation du réseau dans Oracle Solaris 11.2 , puis modifiez le fichier ike/config comme suit :
Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Pour gérer l'authentification, utilisez encr_auth_algs plutôt qu'auth_algs dans le fichier /etc/inet/ipsecinit.conf. L'authentification ESP ne couvre pas l'en-tête IP ni les options IP, mais elle authentifie toutes les informations qui suivent l'en-tête ESP.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}