Oracle® Solaris 11.2 でのネットワークのセキュリティー保護

印刷ビューの終了

更新: 2014 年 9 月
 
 

事前共有鍵で IKEv2 を構成する方法

この手順では、名前 enigmapartym を使用しているシステムの名前に置き換えてください。両方の IKE エンドポイントを構成します。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。

  1. 各システムで /etc/inet/ike/ikev2.config ファイルを編集します。
    # pfedit /etc/inet/ike/ikev2.config
  2. ファイル内に、事前共有鍵を使用するルールを作成します。

    注 -  Step 4 で鍵を作成します。

    このファイルのルールおよびグローバルパラメータは、システムの ipsecinit.conf ファイル内の IPsec ポリシーの鍵を管理する必要があります。次の IKEv2 構成の例では、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法ipsecinit.conf の例の鍵を管理します。

    1. たとえば、enigma システムの ikev2.config ファイルを変更します。

      注 - この例では、グローバルパラメータセクションの 2 つの変換を示します。ピアはこれらの変換のいずれかで構成できます。特定の変換を要求するには、その変換をルールに含めます。
      ### ikev2.config file on enigma, 192.168.116.16
      
      ## Global parameters
      # This default value will apply to all transforms that follow
      #
      ikesa_lifetime_secs 3600
      #
      # Global transform definitions.  The algorithm choices are
      # based on RFC 4921.
      #
      ## Two transforms are acceptable to this system, Group 20 and Group 19.
      ## A peer can be configured with 19 or 20.
      ## To ensure that a particular peer uses a specific transform,
      ## include the transform in the rule.
      ## 
      # Group 20 is 384-bit ECP - Elliptic Curve over Prime
      ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
      # Group 19 is 256-bit ECP
      ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
      #
      ## The rule to communicate with partym
      ##  Label must be unique
      { label "enigma-partym"
        auth_method preshared
        local_addr  192.168.116.16
        remote_addr 192.168.13.213
      }
    2. partym システムの ikev2.config ファイルを変更します。
      ## ikev2.config file on partym, 192.168.13.213
      ## Global Parameters
      #
      ...
      ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
      ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
      ...
      ## The rule to communicate with enigma
      ##  Label must be unique
      { label "partym-enigma"
        auth_method preshared
        local_addr  192.168.13.213
        remote_addr 192.168.116.16
      }
  3. 各システムで、ファイルの構文を検証します。
    # /usr/lib/inet/in.ikev2d -c
  4. 各システムの /etc/inet/ike/ikev2.preshared ファイルに事前共有鍵を追加します。

    Caution

    注意  -  このファイルは特殊な権限を持ち、ikeuser によって所有されています。このファイルは決して削除したり置き換えたりしないでください。代わりに、ファイルが元のプロパティーを保持できるように pfedit コマンドを使用して内容を編集してください。


    1. たとえば、enigma システムの ikev2.preshared ファイルは次のようになります。
      # pfedit -s /etc/inet/ike/ikev2.preshared
      ## ikev2.preshared on enigma, 192.168.116.16
      #…
      ## label must match the rule that uses this key
      { label "enigma-partym"
      ## The preshared key can also be represented in hex
      ## as in 0xf47cb0f432e14480951095f82b
         key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }

      pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。

    2. partym システムでは、ikev2.preshared ファイルは固有のラベル以外はほぼ同じです。
      ## ikev2.preshared on partym, 192.168.13.213
      #…
      ## label must match the label of the rule that uses this key
      { label "partym-enigma"
      ## The preshared key can also be represented in hex
      ## as in 0xf47cb0f432e14480951095f82b
      	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      	}
  5. IKEv2 サービスインスタンスを有効にします。
    # svcadm enable ipsec/ike:ikev2

    事前共有鍵を置き換えるときは、ピアシステムで事前共有鍵ファイルを編集して ikev2 サービスを再起動します。

    # svcadm restart ikev2
使用例 9-1  ローカルとリモートで異なる IKEv2 共有鍵を使用する

この例では、IKEv2 の管理者がシステムごとに事前共有鍵を作成してそれらを交換し、各鍵を事前共有鍵ファイルに追加します。事前共有鍵エントリのラベルは ikev2.config ファイル内のルールのラベルと一致します。その後、彼らは in.ikev2d デーモンを再起動します。

相手システムの事前共有鍵を受け取ったあと、管理者は ikev2.preshared ファイルを編集します。partym のファイルは次のとおりです。

# pfedit -s /etc/inet/ike/ikev2.preshared
#…
{ label "partym-enigma"
## local and remote preshared keys 
local_key  "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
remote_key "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
}

したがって、enigmaikev2.preshared 鍵ファイルは次のようになります。

#…
{ label "enigma-partym"
## local and remote preshared keys 
local_key  "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
remote_key "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
}

管理者は各システムで IKEv2 サービスインスタンスを再起動します。

# svcadm restart ikev2

次のステップ

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。

その他の例については、ikev2.config(4) および ikev2.preshared(4) のマニュアルページを参照してください。