この手順では、次の設定がすでになされているものとします。
システムに静的 IP アドレスがアサイン済みで、ネットワーク構成プロファイル DefaultFixed を実行している。netadm list コマンドが Automatic を返す場合は、netcfg(1M) のマニュアルページで詳細を確認してください。
2 つのシステムが enigma および partym と名付けられている。
各システムが IP アドレスを持っています。これは、IPv4 アドレス、IPv6 アドレスのどちらでもかまいませんし、その両方でもかまいません。この手順では、IPv4 アドレスを使用します。
各システムは大域ゾーンまたは排他的 IP ゾーンである。詳細は、IPsec と Oracle Solaris ゾーンを参照してください。
各システムはトラフィックを AES アルゴリズムで暗号化し、SHA-2 で認証する。
各システムは、共有セキュリティーアソシエーションを使用します。
共有セキュリティーアソシエーションでは、2 つのシステムを保護するのに必要なのは 1 組だけの SA です。
始める前に
特定の権利を持つユーザーは、root でなくても次のコマンドを実行できます。
構成コマンドを実行するには、Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。
この管理役割では、IPsec 関連のシステムファイルを編集し、pfedit コマンドを使用して鍵を作成できます。
hosts ファイルを編集するには、root 役割になるか、そのファイルを編集するための明示的なアクセス権を持っている必要があります。Example 7–7 を参照してください。
詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。
この手順により、ローカルネームサービスがネットワークに接続されたネームサービスに依存することなくシステム名を IP アドレスに解決できるようになります。
## Secure communication with enigma 192.168.116.16 enigma
## Secure communication with partym 192.168.13.213 partym
ファイル名は /etc/inet/ipsecinit.conf です。例は、/etc/inet/ipsecinit.sample ファイルを参照してください。
# pfedit /etc/inet/ipsecinit.conf
IPsec ポリシーエントリの構文といくつかの例については、ipsecconf(1M) のマニュアルページを参照してください。
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
dir キーワードが使用されていないため、ポリシーはアウトバウンドとインバウンド両方のパケットに適用されます。
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
IKEv2 の構成の構成手順のいずれかに従います。IKE 構成ファイルの構文については、ikev2.config(4) のマニュアルページを参照してください。IKEv1 プロトコルのみをサポートしているシステムと通信している場合は、IKEv1 の構成および ike.config(4) のマニュアルページを参照してください。
% pfbash # /usr/sbin/ipsecconf -c /etc/inet/ipsecinit.conf
エラーがあれば修正し、ファイルの構文を確認してから続行します。
# svcadm refresh ipsec/policy:default
IPsec ポリシーはデフォルトで有効になっているので、「リフレッシュ」を行います。IPsec ポリシーを無効にしてある場合は有効にしてください。
# svcadm enable ipsec/policy:default
# svcadm enable ipsec/ike:ikev2
# svcadm restart ike:ikev2
Step 4 で鍵を手動で構成した場合は、IPsec の鍵を手動で作成する方法の手順を実行して鍵をアクティブ化します。
手順については、IPsec によってパケットが保護されていることを確認する方法を参照してください。
この例では、root 役割の管理者が 2 番目のシステムにアクセスするための ssh コマンドを使用して、2 つのシステム上で IPsec ポリシーと鍵を構成します。管理者は両方のシステムで同じように定義されています。詳細は、ssh(1) のマニュアルページを参照してください。
管理者は、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法の Step 1 から Step 5 までを実行して最初のシステムを構成します。
別の端末ウィンドウで、管理者は同じように定義されたユーザー名と ID を使用して、ssh コマンドによってリモートでログインします。
local-system % ssh -l jdoe other-system other-system # su - root Enter password: xxxxxxxx other-system #
ssh セッションの端末ウィンドウで、Step 1 から Step 7 までを実行して、2 番目のシステムの IPsec ポリシーと鍵を構成します。
管理者は ssh セッションを終了します。
other-system # exit local-system # exit
2 つのシステムが次に通信を行うとき、ssh 接続を使用した通信も含め、通信は IPsec で保護されます。
使用例 7-2 FIPS 140 モードで実行する IPsec ポリシーの構成この例では、管理者が、鍵の長さが少なくとも 192 ビットの対称アルゴリズムを必要とするサイトのセキュリティーポリシーに従うように、FIPS 140 対応システムの IPsec ポリシーを構成します。
管理者は 2 つの使用可能な IPsec ポリシーを指定します。1 つ目のポリシーは、暗号化と認証に対して CCM モードの AES を指定し、2 つ目のポリシーは、暗号化に対して鍵の長さが 192 および 256 ビットの AES を指定し、認証に対して SHA384 を指定します。
{laddr machine1 raddr machine2} ipsec {encr_algs aes-ccm(192...) sa shared} or ipsec {laddr machine1 raddr machine2} ipsec {encr_algs aes(192...) encr_auth_algs sha2(384) sa shared}